Microsoft は、クラウド インフラストラクチャ、エッジ システム、さまざまな Microsoft サービスで使用される Linux 環境のユニバーサル ベース プラットフォームとして開発されている新しいディストリビューション ブランチ CBL-Mariner 2.0 (Common Base Linux Mariner) の最初の安定版アップデートを公開しました。 このプロジェクトは、Microsoft Linux ソリューションを統合し、最新のさまざまな目的に合わせて Linux システムのメンテナンスを簡素化することを目的としています。 プロジェクトの開発は MIT ライセンスに基づいて配布されます。 パッケージ ビルドは、aarch64 および x86_64 アーキテクチャ用に生成されます。
新しいリリースでは、プログラムのバージョンが大幅に更新されたことが注目に値します。 Linux カーネル 5.15 (1.0 ブランチでは 5.4 カーネルが使用されました)、systemd 250、glibc 2.35、GCC 11.2、clang 12、Python 3.9、ruby 3.1.2、rpm 4.17、qemu 6.1、perl 5.34 の更新バージョンが含まれます。 、オストリー2022.1。 コア リポジトリには、以前は別の coreui リポジトリに同梱されていた Wayland 1.20、Mesa 21.0、GTK 3.24、X.Org Server 1.20.10 などの GUI コンポーネントが含まれています。 リアルタイム システムで使用するための PREEMPT_RT パッチを含むカーネル ビルドを追加しました。
CBL-Mariner ディストリビューションは、クラウド インフラストラクチャやエッジ デバイスで実行されるコンテナ、ホスト環境、サービスのコンテンツを作成するための普遍的な基盤として機能する、基本パッケージの小規模な標準セットを提供します。 CBL-Mariner の上に追加のパッケージを追加することで、より複雑で特殊なソリューションを作成できますが、そのようなすべてのシステムの基礎は同じままであるため、メンテナンスと更新が容易になります。 たとえば、CBL-Mariner は、WSLg ミニ ディストリビューションの基礎として使用され、WSL2 (Windows Subsystem for Linux) サブシステムに基づく環境で Linux GUI アプリケーションを実行するためのグラフィック スタック コンポーネントを提供します。 WSLg の拡張機能は、Weston Composite Server、XWayland、PulseAudio、FreeRDP の追加パッケージを組み込むことで実現されます。
CBL-Mariner ビルド システムを使用すると、SPEC ファイルとソース コードに基づいた個別の RPM パッケージと、rpm-ostree ツールキットを使用して生成され、個別のパッケージに分割せずにアトミックに更新されるモノリシック システム イメージの両方を生成できます。 したがって、個々のパッケージの更新によるものと、システム イメージ全体の再構築と更新によるものという 3000 つの更新配信モデルがサポートされています。 約 XNUMX の事前構築済み RPM パッケージのリポジトリが用意されており、構成ファイルに基づいて独自のイメージを構築するために使用できます。
ディストリビューションには、最も必要なコンポーネントのみが含まれており、メモリとディスク容量の消費を最小限に抑え、高速な読み込み速度を実現するように最適化されています。 このディストリビューションには、セキュリティを強化するためのさまざまな追加メカニズムが含まれていることでも注目に値します。 このプロジェクトは、「デフォルトで最大のセキュリティ」アプローチを採用しています。 seccomp メカニズムを使用してシステム コールをフィルタリングし、ディスク パーティションを暗号化し、デジタル署名を使用してパッケージを検証することができます。
Linux カーネルでサポートされているアドレス空間ランダム化モードと、シンボリックリンク攻撃に対する保護メカニズム、mmap、/dev/mem、および /dev/kmem がアクティブ化されます。 カーネルおよびモジュール データを含むセグメントを含むメモリ領域は読み取り専用モードに設定され、コードの実行は禁止されます。 オプションのオプションは、システムの初期化後のカーネル モジュールのロードを無効にすることです。 iptables ツールキットは、ネットワーク パケットをフィルタリングするために使用されます。 ビルド段階では、スタック オーバーフロー、バッファ オーバーフロー、文字列フォーマットの問題に対する保護がデフォルトで有効になっています (_FORTIFY_SOURCE、-fstack-protector、-Wformat-security、relro)。
システム マネージャー systemd は、サービスとブートの管理に使用されます。 パッケージ管理のために、RPM および DNF パッケージ マネージャーが提供されます。 SSH サーバーはデフォルトでは有効になっていません。 ディストリビューションをインストールするために、テキスト モードとグラフィック モードの両方で動作できるインストーラーが提供されます。 インストーラは、パッケージの完全セットまたは基本セットを使用してインストールするオプションを提供し、ディスク パーティションの選択、ホスト名の選択、およびユーザーの作成のためのインターフェイスを提供します。
出所: オープンネット.ru