מיקרוסופט פרסמה עדכון להפצת לינוקס CBL-Mariner

מיקרוסופט פרסמה עדכון לערכת ההפצה CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), המפותחת כפלטפורמת בסיס אוניברסלית עבור סביבות לינוקס המשמשות בתשתית ענן, מערכות קצה ושירותים שונים של מיקרוסופט. הפרויקט נועד לאחד את פתרונות לינוקס של מיקרוסופט ולפשט את התחזוקה של מערכות לינוקס למטרות שונות עדכניות. הפיתוחים של הפרויקט מופצים תחת רישיון MIT. חבילות נוצרות עבור ארכיטקטורות aarch64 ו-x86_64. תמונת ISO ניתנת לאתחול הוכנה (1.1 GB) עבור ארכיטקטורת x86_64.

בגרסה החדשה:

• גרסאות חבילה מעודכנות, כולל מהדורות מוצעות של ליבת לינוקס 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
• נוספו חבילות חדשות cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
• כלולים מודולים לשינוי אלגוריתם בקרת הגודש TCP (TCP Congestion).
• תיקוני הפגיעות הועברו לחבילות libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.

הפצת CBL-Mariner מספקת סט סטנדרטי קטן של חבילות בסיסיות המשמשות כבסיס אוניברסלי ליצירת תכולת קונטיינרים, סביבות מארחות ושירותים הפועלים בתשתיות ענן ובמכשירי קצה. ניתן ליצור פתרונות מורכבים ומיוחדים יותר על ידי הוספת חבילות נוספות על גבי CBL-Mariner, אך הבסיס לכל המערכות הללו נשאר זהה, מה שמקל על התחזוקה והעדכונים. לדוגמה, CBL-Mariner משמש כבסיס להפצת המיני WSLg, המספקת רכיבי מחסנית גרפיקה להפעלת יישומי GUI של Linux בסביבות המבוססות על תת-מערכת WSL2 (Windows Subsystem for Linux). פונקציונליות מורחבת ב-WSLg מושגת באמצעות הכללת חבילות נוספות עם Weston Composite Server, XWayland, PulseAudio ו-FreeRDP.

מערכת הבנייה של CBL-Mariner מאפשרת לך ליצור גם חבילות RPM בודדות המבוססות על קבצי SPEC וקוד מקור, וגם תמונות מערכת מונוליטיות שנוצרו באמצעות ערכת הכלים rpm-ostree ומתעדכנות מבחינה אטומית מבלי להתפצל לחבילות נפרדות. בהתאם לכך, שני מודלים של מסירת עדכונים נתמכים: באמצעות עדכון חבילות בודדות ודרך בנייה מחדש ועדכון של תמונת המערכת כולה. זמין מאגר של כ-3000 חבילות RPM מובנות מראש שבהן תוכלו להשתמש כדי לבנות תמונות משלכם על סמך קובץ תצורה.

ההפצה כוללת רק את הרכיבים הדרושים ביותר והיא מותאמת לצריכת זיכרון מינימלית וצריכת שטח דיסק, כמו גם למהירות טעינה גבוהה. ההפצה בולטת גם בהכללת מנגנונים נוספים שונים לשיפור האבטחה. הפרויקט נוקט בגישת "אבטחה מרבית כברירת מחדל". אפשר לסנן קריאות מערכת באמצעות מנגנון seccomp, להצפין מחיצות דיסק ולאמת חבילות באמצעות חתימה דיגיטלית.

מופעלים מצבי אקראי של מרחב כתובות הנתמכים בליבת לינוקס, כמו גם מנגנוני הגנה מפני התקפות סימלינק, mmap, /dev/mem ו-/dev/kmem. אזורי הזיכרון המכילים מקטעים עם נתוני ליבה ומודול מוגדרים למצב קריאה בלבד וביצוע קוד אסור. אפשרות אופציונלית היא לבטל טעינת מודולי ליבה לאחר אתחול המערכת. ערכת הכלים iptables משמשת לסינון מנות רשת. בשלב הבנייה, הגנה מפני הצפת מחסנית, גלישת מאגר ובעיות עיצוב מחרוזת מופעלת כברירת מחדל (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

מערכת מנהל המערכת משמשת לניהול שירותים ולאתחול. מנהלי חבילות RPM ו-DNF מסופקים לניהול חבילות. שרת SSH אינו מופעל כברירת מחדל. כדי להתקין את ההפצה, מסופק מתקין שיכול לעבוד הן במצבי טקסט והן במצב גרפי. המתקין מספק אפשרות התקנה עם סט מלא או בסיסי של חבילות, ומציע ממשק לבחירת מחיצת דיסק, בחירת שם מארח ויצירת משתמשים.

מקור: OpenNet.ru