A Microsoft közzétette az új disztribúciós ág első stabil frissítését, a CBL-Mariner 2.0-t (Common Base Linux Mariner), amelyet a felhőinfrastruktúrában, szélrendszerekben és különféle Microsoft-szolgáltatásokban használt Linux-környezetek univerzális alapplatformjaként fejlesztenek. A projekt célja a Microsoft Linux megoldások egységesítése és a Linux rendszerek különböző célú karbantartásának egyszerűsítése. A projekt fejlesztései MIT licenc alatt kerülnek terjesztésre. A csomagösszeállítások az aarch64 és az x86_64 architektúrákhoz jönnek létre.
Az új kiadás a programverziók jelentős frissítéséről nevezetes. Beleértve a Linux kernel 5.15 frissített verzióit (az 1.0 ágban az 5.4 kernelt használták), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1. , ostree 5.34. Az alapvető adattár olyan grafikus felhasználói felület összetevőket tartalmaz, mint a Wayland 2022.1, Mesa 1.20, GTK 21.0 és X.Org Server 3.24, amelyeket korábban külön coreui tárolóban szállítottak. Hozzáadott kernel buildek PREEMPT_RT javításokkal valós idejű rendszerekben való használatra.
A CBL-Mariner disztribúciós készlet egy kis szabványos alapcsomag-készletet biztosít, amelyek univerzális alapként szolgálnak konténerek, gazdagép környezetek és felhőinfrastruktúrákban és szélső eszközökön elindított szolgáltatások feltöltéséhez. Bonyolultabb és speciálisabb megoldások hozhatók létre a CBL-Marinerhez további csomagok hozzáadásával, de az összes ilyen rendszer alapja ugyanaz marad, megkönnyítve a karbantartást és a frissítések előkészítését. Például a CBL-Mariner a WSLg mini disztribúció alapja, amely grafikus verem-összetevőket biztosít Linux grafikus felületű alkalmazások futtatásához WSL2 (Windows alrendszer Linuxhoz) környezetben. A WSLg kiterjesztett funkcionalitása a Weston Composite Server, az XWayland, a PulseAudio és a FreeRDP kiegészítő csomagjaival valósul meg.
A CBL-Mariner build rendszer lehetővé teszi, hogy SPEC fájlok és források alapján különálló RPM-csomagokat, valamint az rpm-ostree eszközkészlettel generált és atomosan frissített monolitikus rendszerképeket külön csomagokba bontás nélkül generáljon. Ennek megfelelően két frissítés-szállítási modell támogatott: az egyes csomagok frissítésével és a teljes rendszerkép újraépítésével és frissítésével. Elérhető egy körülbelül 3000 RPM-es tárház, amelyből a konfigurációs fájl alapján saját képfájljait készítheti el.
A disztribúció csak a legszükségesebb komponenseket tartalmazza, és minimális memória- és lemezterület-fogyasztásra, valamint nagy letöltési sebességre van optimalizálva. A disztribúció emellett számos további biztonsági mechanizmust is tartalmaz. A projekt "alapértelmezés szerint maximális biztonság" megközelítést alkalmaz. Lehetővé teszi a rendszerhívások seccomp mechanizmussal történő szűrését, a lemezpartíciók titkosítását és a csomagok digitális aláírással történő ellenőrzését.
Aktiválódnak a Linux kernel által támogatott címterület véletlenszerűsítési módok, valamint a szimbolikus hivatkozásokhoz, mmap, /dev/mem és /dev/kmem kapcsolódó támadások elleni védelmi mechanizmusok. Azon memóriaterületeken, amelyek kernel- és moduladatokat tartalmazó szegmenseket tartalmaznak, a mód csak olvasható, és a kódfuttatás tilos. Opcionálisan elérhető a kernelmodulok rendszerinicializálás utáni betöltésének letiltása. Az iptables eszközkészlet a hálózati csomagok szűrésére szolgál. Alapértelmezés szerint a build pass védelmi módokat engedélyez a veremtúlcsordulás, a puffertúlcsordulás és a karakterlánc-formázási problémák ellen (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
A systemd rendszerkezelő a szolgáltatások és a rendszerindítás kezelésére szolgál. A csomagkezeléshez RPM és DNF csomagkezelők állnak rendelkezésre. Az SSH-kiszolgáló alapértelmezés szerint nincs engedélyezve. A disztribúció telepítéséhez egy telepítő biztosított, amely szöveges és grafikus módban is működik. A telepítő lehetővé teszi a teljes vagy alapcsomag-készlettel történő telepítést, interfészt kínál a lemezpartíció kiválasztásához, a gazdagépnév kiválasztásához és a felhasználók létrehozásához.
Forrás: opennet.ru