Microsoft paskelbė platinimo rinkinio CBL-Mariner 2.0.20221029 (Common Base Linux Mariner) atnaujinimą, kuris kuriamas kaip universali bazinė platforma Linux aplinkoms, naudojamoms debesų infrastruktūroje, krašto sistemose ir įvairiose Microsoft paslaugose. Projektu siekiama suvienodinti Microsoft Linux sprendimus ir supaprastinti įvairiems tikslams skirtų Linux sistemų priežiūrą. Projekto plėtra platinama pagal MIT licenciją. Paketai generuojami aarch64 ir x86_64 architektūroms. Paruoštas įkrovos ISO vaizdas (1.1 GB) x86_64 architektūrai.
Naujoje versijoje:
- Atnaujintos paketo versijos, įskaitant siūlomus Linux branduolio 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Pridėta naujų paketų cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-comatability.
- Pridedami moduliai, skirti pakeisti TCP perkrovos valdymo algoritmą (TCP Congestion).
- Pažeidžiamumo pataisymai perkelti į libtar, neapribotą, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform paketus.
CBL-Mariner paskirstymas suteikia nedidelį standartinį pagrindinių paketų rinkinį, kuris yra universalus pagrindas kuriant konteinerių turinį, pagrindinę aplinką ir paslaugas, veikiančias debesų infrastruktūroje ir kraštutiniuose įrenginiuose. Sudėtingesni ir specializuoti sprendimai gali būti sukurti pridedant papildomus paketus prie CBL-Mariner, tačiau visų tokių sistemų pagrindas išlieka tas pats, todėl priežiūra ir atnaujinimas yra lengvesni. Pavyzdžiui, CBL-Mariner naudojamas kaip WSLg mini paskirstymo pagrindas, kuris suteikia grafikos kamino komponentus, skirtus Linux GUI programoms paleisti aplinkoje, pagrįstoje WSL2 (Windows Subsystem for Linux) posistemiu. Išplėstas WSLg funkcionalumas įgyvendinamas įtraukiant papildomus paketus su Weston Composite Server, XWayland, PulseAudio ir FreeRDP.
CBL-Mariner kūrimo sistema leidžia generuoti tiek atskirus RPM paketus, pagrįstus SPEC failais ir šaltinio kodu, tiek monolitinius sistemos vaizdus, sugeneruotus naudojant rpm-ostree įrankių rinkinį ir atnaujintus atomiškai, neskirstant į atskirus paketus. Atitinkamai palaikomi du naujinimų pristatymo modeliai: atnaujinant atskirus paketus ir perkuriant bei atnaujinant visą sistemos vaizdą. Yra maždaug 3000 iš anksto sukurtų RPM paketų saugykla, kurią galite naudoti kurdami savo vaizdus pagal konfigūracijos failą.
Paskirstymas apima tik būtiniausius komponentus ir yra optimizuotas minimaliam atminties ir vietos diske sunaudojimui bei dideliam įkėlimo greičiui. Platinimas taip pat pastebimas tuo, kad yra įvairių papildomų mechanizmų, skirtų saugumui padidinti. Projekte taikomas „maksimalaus saugumo pagal numatytuosius nustatymus“ metodas. Galima filtruoti sistemos skambučius naudojant seccomp mechanizmą, užšifruoti disko skaidinius ir patikrinti paketus naudojant skaitmeninį parašą.
Įjungiami „Linux“ branduolio palaikomi adresų erdvės atsitiktinio atrankos režimai, taip pat apsaugos nuo simbolių nuorodų atakų mechanizmai, mmap, /dev/mem ir /dev/kmem. Atminties sritys, kuriose yra segmentų su branduolio ir modulio duomenimis, nustatomos tik skaitymo režimu, o kodo vykdymas yra draudžiamas. Pasirenkama parinktis yra išjungti branduolio modulių įkėlimą po sistemos inicijavimo. „iptables“ įrankių rinkinys naudojamas tinklo paketams filtruoti. Kūrimo etape apsauga nuo dėklo perpildymo, buferio perpildymo ir eilutės formatavimo problemų įgalinta pagal numatytuosius nustatymus (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistemos tvarkyklė systemd naudojama paslaugoms valdyti ir įkelti. RPM ir DNF paketų tvarkyklės yra skirtos paketų valdymui. Pagal numatytuosius nustatymus SSH serveris neįjungtas. Norėdami įdiegti platinimą, pateikiamas diegimo programa, kuri gali dirbti tiek tekstiniu, tiek grafiniu režimu. Diegimo programa suteikia galimybę įdiegti su visu arba pagrindiniu paketų rinkiniu ir siūlo sąsają disko skaidiniui pasirinkti, pagrindinio kompiuterio pavadinimui ir vartotojams kurti.
Šaltinis: opennet.ru