Компания Microsoft опубликовала обновление дистрибутива CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Проект нацелен на унификацию применяемых в Microsoft Linux-решений и упрощение поддержания Linux-систем различного назначения в актуальном состоянии. Наработки проекта распространяются под лицензией MIT. Пакеты формируются для архитектур aarch64 и x86_64. Загрузочный ISO-образ подготовлен (1.1 ГБ) для архитектуры x86_64.
An der neier Versioun:
- Обновлены версии пакетов, в том числе предложены выпуски ядра Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Добавлены новые пакеты cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Включены модули для изменения алгоритма управления перегрузкой TCP (TCP Congestion).
- Перенесены исправления уязвимостей в пакеты libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
D'CBL-Mariner Verdeelung bitt e klenge Standard Set vu Basispaketen, déi als universell Basis déngen fir den Inhalt vu Container, Host-Ëmfeld a Servicer ze kreéieren, déi an Cloud-Infrastrukturen an op Randgeräter lafen. Méi komplex a spezialiséiert Léisunge kënnen erstallt ginn andeems Dir zousätzlech Packagen uewen op CBL-Mariner bäidréit, awer d'Basis fir all esou Systemer bleift déiselwecht, wat den Ënnerhalt an d'Aktualiséierunge méi einfach mécht. Zum Beispill gëtt CBL-Mariner als Basis fir d'WSLg Mini-Verdeelung benotzt, déi Grafikstackkomponenten ubitt fir Linux GUI Uwendungen an Ëmfeld op Basis vum WSL2 (Windows Subsystem for Linux) Subsystem ze lafen. Verlängert Funktionalitéit am WSLg gëtt duerch d'Inklusioun vun zousätzleche Packagen mat Weston Composite Server, XWayland, PulseAudio a FreeRDP realiséiert.
De CBL-Mariner Build System erlaabt Iech souwuel individuell RPM Packagen op Basis vu SPEC Dateien a Quellcode ze generéieren, wéi och monolithesch Systembiller generéiert mat der rpm-ostree Toolkit an aktualiséiert atomesch ouni opzedeelen an separat Packagen. Deementspriechend ginn zwee Update-Liwwermodeller ënnerstëtzt: duerch d'Aktualiséierung vun eenzelne Packagen an duerch d'Opbau an d'Aktualiséierung vum ganze Systembild. E Repository vun ongeféier 3000 pre-built RPM Packagen ass verfügbar déi Dir benotze kënnt fir Är eege Biller op Basis vun enger Konfiguratiounsdatei ze bauen.
D'Verdeelung enthält nëmmen déi néideg Komponenten an ass optimiséiert fir minimale Gedächtnis- a Plaatzverbrauch, souwéi héich Luedegeschwindegkeet. D'Verdeelung ass och bemierkenswäert fir d'Inklusioun vu verschiddenen zousätzleche Mechanismen fir d'Sécherheet ze verbesseren. De Projet hëlt eng "maximal Sécherheet par défaut" Approche. Et ass méiglech System Uriff ze filteren mam Seccomp Mechanismus, Diskpartitionen verschlësselen, a Packagen mat enger digitaler Ënnerschrëft z'iwwerpréiwen.
Adressraum Randomiséierungsmodi, déi am Linux Kernel ënnerstëtzt ginn, sinn aktivéiert, souwéi Schutzmechanismen géint Symlink Attacken, mmap, /dev/mem an /dev/kmem. D'Erënnerungsberäicher déi Segmenter mat Kernel- a Moduldaten enthalen sinn op Read-only Modus gesat an d'Ausféierung vum Code ass verbueden. Eng fakultativ Optioun ass d'Luede Kernel Moduler no der Systeminitialiséierung auszeschalten. Den iptables Toolkit gëtt benotzt fir Netzwierkpakete ze filteren. Op der Baustadium ass de Schutz géint Stack Iwwerschwemmungen, Puffer Iwwerschwemmungen, a Stringformatéierungsproblemer als Standard aktivéiert (_FORTIFY_SOURCE, -fstack-Protector, -Wformat-Security, relro).
De System Manager systemd gëtt benotzt fir Servicer ze managen an ze booten. RPM an DNF Package Manager gi fir Package Management zur Verfügung gestallt. Den SSH Server ass net als Standard aktivéiert. Fir d'Verdeelung z'installéieren, gëtt en Installateur zur Verfügung gestallt, deen an Text- a grapheschen Modi funktionéiere kann. Den Installateur bitt d'Optioun fir mat engem kompletten oder Basis Set vu Packagen z'installéieren, a bitt en Interface fir eng Diskpartition auszewielen, e Hostnumm auszewielen a Benotzer ze kreéieren.
Source: opennet.ru