Компания Microsoft опубликовала обновление дистрибутива CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Проект нацелен на унификацию применяемых в Microsoft Linux-решений и упрощение поддержания Linux-систем различного назначения в актуальном состоянии. Наработки проекта распространяются под лицензией MIT. Пакеты формируются для архитектур aarch64 и x86_64. Загрузочный ISO-образ подготовлен (1.1 ГБ) для архитектуры x86_64.
収録曲:
- Обновлены версии пакетов, в том числе предложены выпуски ядра Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Добавлены новые пакеты cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Включены модули для изменения алгоритма управления перегрузкой TCP (TCP Congestion).
- Перенесены исправления уязвимостей в пакеты libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
CBL-Mariner ディストリビューションは、クラウド インフラストラクチャやエッジ デバイスで実行されるコンテナ、ホスト環境、サービスのコンテンツを作成するための普遍的な基盤として機能する、基本パッケージの小規模な標準セットを提供します。 CBL-Mariner の上に追加のパッケージを追加することで、より複雑で特殊なソリューションを作成できますが、そのようなすべてのシステムの基礎は同じままであるため、メンテナンスと更新が容易になります。 たとえば、CBL-Mariner は、WSLg ミニ ディストリビューションの基礎として使用され、WSL2 (Windows Subsystem for Linux) サブシステムに基づく環境で Linux GUI アプリケーションを実行するためのグラフィック スタック コンポーネントを提供します。 WSLg の拡張機能は、Weston Composite Server、XWayland、PulseAudio、FreeRDP の追加パッケージを組み込むことで実現されます。
CBL-Mariner ビルド システムを使用すると、SPEC ファイルとソース コードに基づいた個別の RPM パッケージと、rpm-ostree ツールキットを使用して生成され、個別のパッケージに分割せずにアトミックに更新されるモノリシック システム イメージの両方を生成できます。 したがって、個々のパッケージの更新によるものと、システム イメージ全体の再構築と更新によるものという 3000 つの更新配信モデルがサポートされています。 約 XNUMX の事前構築済み RPM パッケージのリポジトリが用意されており、構成ファイルに基づいて独自のイメージを構築するために使用できます。
ディストリビューションには、最も必要なコンポーネントのみが含まれており、メモリとディスク容量の消費を最小限に抑え、高速な読み込み速度を実現するように最適化されています。 このディストリビューションには、セキュリティを強化するためのさまざまな追加メカニズムが含まれていることでも注目に値します。 このプロジェクトは、「デフォルトで最大のセキュリティ」アプローチを採用しています。 seccomp メカニズムを使用してシステム コールをフィルタリングし、ディスク パーティションを暗号化し、デジタル署名を使用してパッケージを検証することができます。
Linux カーネルでサポートされているアドレス空間ランダム化モードと、シンボリックリンク攻撃に対する保護メカニズム、mmap、/dev/mem、および /dev/kmem がアクティブ化されます。 カーネルおよびモジュール データを含むセグメントを含むメモリ領域は読み取り専用モードに設定され、コードの実行は禁止されます。 オプションのオプションは、システムの初期化後のカーネル モジュールのロードを無効にすることです。 iptables ツールキットは、ネットワーク パケットをフィルタリングするために使用されます。 ビルド段階では、スタック オーバーフロー、バッファ オーバーフロー、文字列フォーマットの問題に対する保護がデフォルトで有効になっています (_FORTIFY_SOURCE、-fstack-protector、-Wformat-security、relro)。
システム マネージャー systemd は、サービスとブートの管理に使用されます。 パッケージ管理のために、RPM および DNF パッケージ マネージャーが提供されます。 SSH サーバーはデフォルトでは有効になっていません。 ディストリビューションをインストールするために、テキスト モードとグラフィック モードの両方で動作できるインストーラーが提供されます。 インストーラは、パッケージの完全セットまたは基本セットを使用してインストールするオプションを提供し、ディスク パーティションの選択、ホスト名の選択、およびユーザーの作成のためのインターフェイスを提供します。
出所: オープンネット.ru