Microsoft ha pubblicato un aggiornamento del kit di distribuzione CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), che viene sviluppato come piattaforma di base universale per ambienti Linux utilizzati nell'infrastruttura cloud, nei sistemi edge e in vari servizi Microsoft. Il progetto mira a unificare le soluzioni Microsoft Linux e semplificare la manutenzione dei sistemi Linux per vari scopi aggiornati. Gli sviluppi del progetto sono distribuiti sotto licenza MIT. I pacchetti vengono generati per le architetture aarch64 e x86_64. Immagine ISO avviabile preparata (1.1 GB) per l'architettura x86_64.
Nella nuova versione:
- Versioni aggiornate dei pacchetti, incluse le versioni proposte del kernel Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Aggiunti nuovi pacchetti cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatibility.
- Moduli inclusi per modificare l'algoritmo di controllo della congestione TCP (TCP Congestion).
- Le correzioni delle vulnerabilità sono state spostate nei pacchetti libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
La distribuzione CBL-Mariner fornisce un piccolo set standard di pacchetti base che fungono da base universale per la creazione di contenuti di contenitori, ambienti host e servizi in esecuzione nelle infrastrutture cloud e sui dispositivi edge. È possibile creare soluzioni più complesse e specializzate aggiungendo pacchetti aggiuntivi a CBL-Mariner, ma la base per tutti questi sistemi rimane la stessa, facilitando la manutenzione e gli aggiornamenti. Ad esempio, CBL-Mariner viene utilizzato come base per la mini-distribuzione WSLg, che fornisce componenti dello stack grafico per l'esecuzione di applicazioni GUI Linux in ambienti basati sul sottosistema WSL2 (Windows Subsystem for Linux). La funzionalità estesa in WSLg è realizzata attraverso l'inclusione di pacchetti aggiuntivi con Weston Composite Server, XWayland, PulseAudio e FreeRDP.
Il sistema di build CBL-Mariner consente di generare sia singoli pacchetti RPM basati su file SPEC e codice sorgente, sia immagini di sistema monolitiche generate utilizzando il toolkit rpm-ostree e aggiornate atomicamente senza suddividersi in pacchetti separati. Di conseguenza, sono supportati due modelli di distribuzione degli aggiornamenti: tramite l'aggiornamento di singoli pacchetti e tramite la ricostruzione e l'aggiornamento dell'intera immagine del sistema. È disponibile un repository di circa 3000 pacchetti RPM predefiniti che puoi utilizzare per creare le tue immagini basate su un file di configurazione.
La distribuzione include solo i componenti più necessari ed è ottimizzata per un consumo minimo di memoria e spazio su disco, nonché per un'elevata velocità di caricamento. La distribuzione è degna di nota anche per l'inclusione di vari meccanismi aggiuntivi per migliorare la sicurezza. Il progetto adotta un approccio di “massima sicurezza per impostazione predefinita”. È possibile filtrare le chiamate di sistema utilizzando il meccanismo seccomp, crittografare le partizioni del disco e verificare i pacchetti utilizzando una firma digitale.
Vengono attivate le modalità di randomizzazione dello spazio degli indirizzi supportate nel kernel Linux, nonché i meccanismi di protezione contro gli attacchi dei collegamenti simbolici, mmap, /dev/mem e /dev/kmem. Le aree di memoria che contengono segmenti con dati del kernel e del modulo sono impostate sulla modalità di sola lettura e l'esecuzione del codice è vietata. Un'opzione opzionale è disabilitare il caricamento dei moduli del kernel dopo l'inizializzazione del sistema. Il toolkit iptables viene utilizzato per filtrare i pacchetti di rete. In fase di creazione, la protezione contro stack overflow, buffer overflow e problemi di formattazione delle stringhe è abilitata per impostazione predefinita (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Il gestore di sistema systemd viene utilizzato per gestire i servizi e l'avvio. Per la gestione dei pacchetti vengono forniti gestori di pacchetti RPM e DNF. Il server SSH non è abilitato per impostazione predefinita. Per installare la distribuzione viene fornito un programma di installazione che può funzionare sia in modalità testo che grafica. Il programma di installazione offre la possibilità di installare con un set completo o di base di pacchetti e offre un'interfaccia per selezionare una partizione del disco, selezionare un nome host e creare utenti.
Fonte: opennet.ru