Компания Microsoft опубликовала обновление дистрибутива CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Проект нацелен на унификацию применяемых в Microsoft Linux-решений и упрощение поддержания Linux-систем различного назначения в актуальном состоянии. Наработки проекта распространяются под лицензией MIT. Пакеты формируются для архитектур aarch64 и x86_64. Загрузочный ISO-образ подготовлен (1.1 ГБ) для архитектуры x86_64.
Жаңы версияда:
- Обновлены версии пакетов, в том числе предложены выпуски ядра Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Добавлены новые пакеты cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Включены модули для изменения алгоритма управления перегрузкой TCP (TCP Congestion).
- Перенесены исправления уязвимостей в пакеты libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
CBL-Mariner бөлүштүрүү булут инфраструктураларында жана четки түзмөктөрдө иштеген контейнерлердин, хост чөйрөлөрүнүн жана кызматтардын мазмунун түзүү үчүн универсалдуу негиз катары кызмат кылган негизги пакеттердин чакан стандарттуу топтомун камсыз кылат. Татаал жана адистештирилген чечимдерди CBL-Marinerдин үстүнө кошумча пакеттерди кошуу менен түзүүгө болот, бирок бардык мындай системалардын негизи ошол эле бойдон калып, тейлөөнү жана жаңыртууларды жеңилдетет. Мисалы, CBL-Mariner WSL2 (Linux үчүн Windows Subsystem) подсистемасына негизделген чөйрөлөрдө Linux GUI тиркемелерин иштетүү үчүн графикалык стек компоненттерин камсыз кылган WSLg мини-таратылышы үчүн негиз катары колдонулат. WSLgдеги кеңейтилген функция Weston Composite Server, XWayland, PulseAudio жана FreeRDP менен кошумча пакеттерди киргизүү аркылуу ишке ашат.
CBL-Mariner куруу системасы SPEC файлдарынын жана булактарынын негизинде өзүнчө RPM топтомдорун, ошондой эле rpm-ostree инструменталдык комплектинин жардамы менен түзүлгөн жана өзүнчө пакеттерге бөлүнбөстөн атомдук түрдө жаңыртылган монолиттик система сүрөттөрүн түзүүгө мүмкүндүк берет. Демек, эки жаңыртуу жеткирүү модели колдоого алынат: жеке пакеттерди жаңыртуу жана бүт системанын сүрөтүн кайра куруу жана жаңыртуу. Буга чейин курулган болжол менен 3000 RPM репозиторий бар, аны конфигурация файлынын негизинде өзүңүздүн сүрөттөрүңүздү куруу үчүн колдоно аласыз.
Бөлүштүрүү эң керектүү компоненттерди гана камтыйт жана эстутум жана диск мейкиндигин минималдуу керектөө үчүн, ошондой эле жогорку жүктөө ылдамдыгы үчүн оптималдаштырылган. бөлүштүрүү, ошондой эле ар кандай кошумча коопсуздук механизмдерин камтыган үчүн белгилүү. Долбоор "демейки боюнча максималдуу коопсуздук" ыкмасын колдонот. Ал seccomp механизминин жардамы менен тутумдук чалууларды чыпкалоо, диск бөлүктөрүн шифрлөө жана санарип колтамга аркылуу пакеттерди текшерүү мүмкүнчүлүгүн берет.
Linux ядросунда колдоого алынган дарек мейкиндигин рандомизациялоо режимдери, ошондой эле символдук шилтемелер, mmap, /dev/mem жана /dev/kmem менен байланышкан чабуулдардан коргоо механизмдери иштетилген. Ядро жана модулдук маалыматтары бар сегменттерди камтыган эс тутум аймактары үчүн режим окууга гана коюлган жана кодду аткарууга тыюу салынган. Кошумча түрдө системаны инициализациялоодон кийин ядро модулдарын жүктөөнү өчүрүү мүмкүнчүлүгү бар. iptables инструменттери тармак пакеттерин чыпкалоо үчүн колдонулат. Демейки боюнча, куруу өтүшү стектин ашып кетишинен, буфердин ашып кетишинен жана сап форматтоо көйгөйлөрүнөн коргоо режимдерин иштетет (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Системанын менеджери systemd кызматтарды башкаруу жана жүктөө үчүн колдонулат. RPM жана DNF пакет менеджерлери пакетти башкаруу үчүн берилген. SSH сервери демейки боюнча иштетилген эмес. Бөлүштүрүүнү орнотуу үчүн тексттик жана графикалык режимдерде иштей ала турган орнотуучу каралган. Орноткуч пакеттердин толук же негизги топтому менен орнотуу опциясын камсыз кылат жана диск бөлүгүн тандоо, хост атын тандоо жана колдонуучуларды түзүү үчүн интерфейсти сунуштайт.
Source: opennet.ru