A Microsoft közzétette a CBL-Mariner 2.0.20221029 (Common Base Linux Mariner) disztribúciós készlet frissítését, amelyet a felhő infrastruktúrájában, az élrendszerekben és a Microsoft különböző szolgáltatásaiban használt Linux-környezetek univerzális alapplatformjaként fejlesztenek. A projekt célja a Microsoftban használt Linux megoldások egységesítése és a Linux rendszerek különböző célú karbantartásának korszerűsítése. A projektfejlesztéseket az MIT licence alapján terjesztik. A csomagok az aarch64 és x86_64 architektúrákhoz jönnek létre. Bootolható ISO-kép előkészítve (1.1 GB) x86_64 architektúrához.
Az új verzióban:
- Frissített csomagverziók, beleértve a javasolt Linux kernel kiadásokat: 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2tidy .5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Új csomagok hozzáadva: cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-comatability.
- A TCP torlódáskezelési algoritmus módosítására szolgáló modulokat tartalmaz.
- Sebezhetőségi javítások áthelyezve a libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform csomagokhoz.
A CBL-Mariner disztribúciós készlet egy kis szabványos alapcsomag-készletet biztosít, amelyek univerzális alapként szolgálnak konténerek, gazdagép környezetek és felhőinfrastruktúrákban és szélső eszközökön elindított szolgáltatások feltöltéséhez. Bonyolultabb és speciálisabb megoldások hozhatók létre a CBL-Marinerhez további csomagok hozzáadásával, de az összes ilyen rendszer alapja ugyanaz marad, megkönnyítve a karbantartást és a frissítések előkészítését. Például a CBL-Mariner a WSLg mini disztribúció alapja, amely grafikus verem-összetevőket biztosít Linux grafikus felületű alkalmazások futtatásához WSL2 (Windows alrendszer Linuxhoz) környezetben. A WSLg kiterjesztett funkcionalitása a Weston Composite Server, az XWayland, a PulseAudio és a FreeRDP kiegészítő csomagjaival valósul meg.
A CBL-Mariner build rendszer lehetővé teszi, hogy SPEC fájlok és források alapján különálló RPM-csomagokat, valamint az rpm-ostree eszközkészlettel generált és atomosan frissített monolitikus rendszerképeket külön csomagokba bontás nélkül generáljon. Ennek megfelelően két frissítés-szállítási modell támogatott: az egyes csomagok frissítésével és a teljes rendszerkép újraépítésével és frissítésével. Elérhető egy körülbelül 3000 RPM-es tárház, amelyből a konfigurációs fájl alapján saját képfájljait készítheti el.
A disztribúció csak a legszükségesebb komponenseket tartalmazza, és minimális memória- és lemezterület-fogyasztásra, valamint nagy letöltési sebességre van optimalizálva. A disztribúció emellett számos további biztonsági mechanizmust is tartalmaz. A projekt "alapértelmezés szerint maximális biztonság" megközelítést alkalmaz. Lehetővé teszi a rendszerhívások seccomp mechanizmussal történő szűrését, a lemezpartíciók titkosítását és a csomagok digitális aláírással történő ellenőrzését.
Aktiválódnak a Linux kernel által támogatott címterület véletlenszerűsítési módok, valamint a szimbolikus hivatkozásokhoz, mmap, /dev/mem és /dev/kmem kapcsolódó támadások elleni védelmi mechanizmusok. Azon memóriaterületeken, amelyek kernel- és moduladatokat tartalmazó szegmenseket tartalmaznak, a mód csak olvasható, és a kódfuttatás tilos. Opcionálisan elérhető a kernelmodulok rendszerinicializálás utáni betöltésének letiltása. Az iptables eszközkészlet a hálózati csomagok szűrésére szolgál. Alapértelmezés szerint a build pass védelmi módokat engedélyez a veremtúlcsordulás, a puffertúlcsordulás és a karakterlánc-formázási problémák ellen (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
A systemd rendszerkezelő a szolgáltatások és a rendszerindítás kezelésére szolgál. A csomagkezeléshez RPM és DNF csomagkezelők állnak rendelkezésre. Az SSH-kiszolgáló alapértelmezés szerint nincs engedélyezve. A disztribúció telepítéséhez egy telepítő biztosított, amely szöveges és grafikus módban is működik. A telepítő lehetővé teszi a teljes vagy alapcsomag-készlettel történő telepítést, interfészt kínál a lemezpartíció kiválasztásához, a gazdagépnév kiválasztásához és a felhasználók létrehozásához.
Forrás: opennet.ru