Компания Microsoft опубликовала обновление дистрибутива CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Проект нацелен на унификацию применяемых в Microsoft Linux-решений и упрощение поддержания Linux-систем различного назначения в актуальном состоянии. Наработки проекта распространяются под лицензией MIT. Пакеты формируются для архитектур aarch64 и x86_64. Загрузочный ISO-образ подготовлен (1.1 ГБ) для архитектуры x86_64.
नवीन आवृत्तीमध्ये:
- Обновлены версии пакетов, в том числе предложены выпуски ядра Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Добавлены новые пакеты cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Включены модули для изменения алгоритма управления перегрузкой TCP (TCP Congestion).
- Перенесены исправления уязвимостей в пакеты libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Дистрибутив CBL-Mariner предоставляет небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах. Более сложные и специализированные решения могут создаваться путём добавления дополнительных пакетов поверх CBL-Mariner, но основа для всех подобных систем остаётся неизменной, что упрощает сопровождение и подготовку обновлений. Например, CBL-Mariner применяется в качестве основы мини-дистрибутива WSLg, в котором предоставляются компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Расширенная функциональность в WSLg реализуется через включение дополнительных пакетов с композитным сервером Weston, XWayland, PulseAudio и FreeRDP.
CBL-Mariner बिल्ड सिस्टीम तुम्हाला SPEC फाइल्स आणि सोर्स कोडवर आधारित दोन्ही वैयक्तिक RPM पॅकेजेस, तसेच rpm-ostree टूलकिट वापरून व्युत्पन्न केलेल्या मोनोलिथिक सिस्टम प्रतिमा आणि स्वतंत्र पॅकेजेसमध्ये विभाजित न करता अणुरीत्या अपडेट करण्याची परवानगी देते. त्यानुसार, दोन अद्यतन वितरण मॉडेल समर्थित आहेत: वैयक्तिक पॅकेजेस अद्यतनित करून आणि संपूर्ण सिस्टम प्रतिमा पुनर्बांधणी आणि अद्यतनित करून. अंदाजे 3000 पूर्व-निर्मित RPM पॅकेजेसचे भांडार उपलब्ध आहे जे तुम्ही कॉन्फिगरेशन फाइलवर आधारित तुमच्या स्वतःच्या प्रतिमा तयार करण्यासाठी वापरू शकता.
वितरणामध्ये फक्त सर्वात आवश्यक घटक समाविष्ट आहेत आणि कमीतकमी मेमरी आणि डिस्क स्पेस वापरण्यासाठी तसेच उच्च लोडिंग गतीसाठी ऑप्टिमाइझ केले आहे. सुरक्षा वाढविण्यासाठी विविध अतिरिक्त यंत्रणांचा समावेश करण्यासाठी वितरण देखील उल्लेखनीय आहे. प्रकल्प "डिफॉल्टनुसार कमाल सुरक्षा" दृष्टीकोन घेतो. seccomp यंत्रणा वापरून सिस्टम कॉल फिल्टर करणे, डिस्क विभाजने एनक्रिप्ट करणे आणि डिजिटल स्वाक्षरी वापरून पॅकेजेस सत्यापित करणे शक्य आहे.
लिनक्स कर्नलमध्ये सपोर्ट केलेले अॅड्रेस स्पेस यादृच्छिकीकरण मोड सक्रिय केले जातात, तसेच सिमलिंक हल्ल्यांपासून संरक्षण यंत्रणा, mmap, /dev/mem आणि /dev/kmem. कर्नल आणि मॉड्यूल डेटासह विभाग असलेले मेमरी क्षेत्र केवळ-वाचनीय मोडवर सेट केले आहेत आणि कोड अंमलबजावणी प्रतिबंधित आहे. सिस्टम इनिशिएलायझेशननंतर कर्नल मॉड्यूल लोड करणे अक्षम करणे हा एक पर्यायी पर्याय आहे. iptables टूलकिटचा वापर नेटवर्क पॅकेट्स फिल्टर करण्यासाठी केला जातो. बिल्ड स्टेजवर, स्टॅक ओव्हरफ्लो, बफर ओव्हरफ्लो आणि स्ट्रिंग फॉरमॅटिंग समस्यांपासून संरक्षण डीफॉल्टनुसार सक्षम केले जाते (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Для управления сервисами и загрузкой применяется системный менеджер systemd. Для управления пакетами поставляются пакетные менеджеры RPM и DNF. SSH-сервер по умолчанию не включается. Для установки дистрибутива предоставляется инсталлятор, который может работать как в текстовом, так и в графическом режимах. В инсталляторе предоставляется возможность установки с полным или базовым набором пакетов, предлагается интерфейс для выбора дискового раздела, выбора имени хоста и создания пользователей.
स्त्रोत: opennet.ru