Microsoft ir publicējusi atjauninājumu izplatīšanas komplektam CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), kas tiek izstrādāts kā universāla bāzes platforma Linux vidēm, ko izmanto mākoņu infrastruktūrā, malu sistēmās un dažādos Microsoft servisos. Projekta mērķis ir apvienot Microsoft Linux risinājumus un vienkāršot Linux sistēmu uzturēšanu dažādiem mērķiem. Projekta izstrādes tiek izplatītas saskaņā ar MIT licenci. Paketes tiek ģenerētas aarch64 un x86_64 arhitektūrām. Sagatavots sāknēšanas ISO attēls (1.1 GB) x86_64 arhitektūrai.
Jaunajā versijā:
- Atjauninātas pakotnes versijas, tostarp piedāvātie Linux kodola 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy laidieni. 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Pievienotas jaunas pakotnes cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-comatability.
- Iekļauti moduļi TCP pārslodzes kontroles algoritma (TCP Congestion) maiņai.
- Ievainojamības labojumi ir pārvietoti uz pakotnēm libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
CBL-Mariner izplatīšana nodrošina nelielu standarta pakotņu komplektu, kas kalpo kā universāls pamats konteineru satura, resursdatora vidi un pakalpojumu izveidei, kas darbojas mākoņa infrastruktūrās un malas ierīcēs. Sarežģītākus un specializētākus risinājumus var izveidot, pievienojot papildu pakotnes CBL-Mariner, taču visu šādu sistēmu pamats paliek nemainīgs, atvieglojot apkopi un atjaunināšanu. Piemēram, CBL-Mariner tiek izmantots kā WSLg mini izplatīšanas pamats, kas nodrošina grafikas steka komponentus Linux GUI lietojumprogrammu palaišanai vidēs, kuru pamatā ir WSL2 (Windows apakšsistēma Linux) apakšsistēma. Paplašināta WSLg funkcionalitāte tiek realizēta, iekļaujot papildu pakotnes ar Weston Composite Server, XWayland, PulseAudio un FreeRDP.
CBL-Mariner veidošanas sistēma ļauj ģenerēt gan atsevišķas RPM pakotnes, kuru pamatā ir SPEC faili un avota kods, gan monolītus sistēmas attēlus, kas ģenerēti, izmantojot rpm-ostree rīku komplektu un atjaunināti atomiski, nesadalot tos atsevišķās pakotnēs. Attiecīgi tiek atbalstīti divi atjauninājumu piegādes modeļi: atjauninot atsevišķas pakotnes un pārbūvējot un atjauninot visu sistēmas attēlu. Ir pieejama aptuveni 3000 iepriekš izveidotu RPM pakotņu krātuve, ko varat izmantot, lai izveidotu savus attēlus, pamatojoties uz konfigurācijas failu.
Izplatījumā ir iekļautas tikai nepieciešamākās sastāvdaļas un tas ir optimizēts minimālam atmiņas un diska vietas patēriņam, kā arī lielam ielādes ātrumam. Izplatīšana ir ievērojama arī ar dažādu papildu mehānismu iekļaušanu drošības uzlabošanai. Projekts izmanto “maksimālās drošības pēc noklusējuma” pieeju. Ir iespējams filtrēt sistēmas zvanus, izmantojot seccomp mehānismu, šifrēt diska nodalījumus un pārbaudīt pakotnes, izmantojot ciparparakstu.
Tiek aktivizēti Linux kodolā atbalstītie adrešu telpas randomizācijas režīmi, kā arī aizsardzības mehānismi pret simbolisko saišu uzbrukumiem, mmap, /dev/mem un /dev/kmem. Atmiņas apgabali, kas satur segmentus ar kodola un moduļa datiem, ir iestatīti tikai lasīšanas režīmā, un koda izpilde ir aizliegta. Neobligāta iespēja ir atspējot kodola moduļu ielādi pēc sistēmas inicializācijas. Tīkla pakešu filtrēšanai tiek izmantots iptables rīku komplekts. Būvēšanas stadijā aizsardzība pret steka pārpildīšanu, bufera pārpildīšanu un virknes formatēšanas problēmām ir iespējota pēc noklusējuma (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistēmas pārvaldnieks systemd tiek izmantots pakalpojumu pārvaldībai un sāknēšanai. Pakešu pārvaldībai tiek nodrošināti RPM un DNF pakotņu pārvaldnieki. SSH serveris pēc noklusējuma nav iespējots. Lai instalētu izplatīšanu, tiek nodrošināts instalētājs, kas var darboties gan teksta, gan grafiskā režīmā. Instalēšanas programma nodrošina iespēju instalēt ar pilnu vai pamata pakotņu komplektu, kā arī piedāvā interfeisu diska nodalījuma atlasei, resursdatora nosaukuma atlasei un lietotāju izveidošanai.
Avots: opennet.ru