Microsoft heeft de eerste stabiele update gepubliceerd van de nieuwe distributietak CBL-Mariner 2.0 (Common Base Linux Mariner), die wordt ontwikkeld als universeel basisplatform voor Linux-omgevingen die worden gebruikt in cloudinfrastructuur, edge-systemen en diverse Microsoft-diensten. Het project is gericht op het verenigen van Microsoft Linux-oplossingen en het vereenvoudigen van het onderhoud van Linux-systemen voor verschillende doeleinden. De ontwikkelingen van het project worden gedistribueerd onder de MIT-licentie. Pakketbuilds worden gegenereerd voor aarch64- en x86_64-architecturen.
De nieuwe release valt op door de aanzienlijke update van programmaversies. Inclusief bijgewerkte versies van de Linux-kernel 5.15 (in de 1.0-tak werd de 5.4-kernel gebruikt), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34 , otree 2022.1. De kernrepository bevat GUI-componenten zoals Wayland 1.20, Mesa 21.0, GTK 3.24 en X.Org Server 1.20.10, die eerder in een aparte coreui-repository werden geleverd. Kernelbuilds toegevoegd met PREEMPT_RT-patches voor gebruik in realtime systemen.
De CBL-Mariner-distributie biedt een kleine standaardset basispakketten die dienen als universele basis voor het creëren van de inhoud van containers, hostomgevingen en services die draaien in cloudinfrastructuren en op edge-apparaten. Complexere en gespecialiseerde oplossingen kunnen worden gecreëerd door extra pakketten toe te voegen bovenop CBL-Mariner, maar de basis voor al dergelijke systemen blijft hetzelfde, waardoor onderhoud en updates eenvoudiger worden. CBL-Mariner wordt bijvoorbeeld gebruikt als basis voor de WSLg-minidistributie, die grafische stapelcomponenten biedt voor het uitvoeren van Linux GUI-applicaties in omgevingen die zijn gebaseerd op het WSL2-subsysteem (Windows Subsystem for Linux). Uitgebreide functionaliteit in WSLg wordt gerealiseerd door de toevoeging van aanvullende pakketten met Weston Composite Server, XWayland, PulseAudio en FreeRDP.
Met het CBL-Mariner-bouwsysteem kunt u zowel individuele RPM-pakketten genereren op basis van SPEC-bestanden en broncode, als monolithische systeemimages die zijn gegenereerd met behulp van de rpm-ostree-toolkit en atomair worden bijgewerkt zonder deze in afzonderlijke pakketten op te splitsen. Dienovereenkomstig worden twee modellen voor het leveren van updates ondersteund: door het bijwerken van individuele pakketten en door het opnieuw opbouwen en bijwerken van het volledige systeemimage. Er is een repository van ongeveer 3000 vooraf gebouwde RPM-pakketten beschikbaar die u kunt gebruiken om uw eigen images te bouwen op basis van een configuratiebestand.
De distributie bevat alleen de meest noodzakelijke componenten en is geoptimaliseerd voor minimaal geheugen- en schijfruimteverbruik, evenals een hoge laadsnelheid. De distributie valt ook op door de toevoeging van verschillende aanvullende mechanismen om de veiligheid te verbeteren. Het project hanteert een ‘maximale beveiliging standaard’-benadering. Het is mogelijk om systeemaanroepen te filteren met behulp van het seccomp-mechanisme, schijfpartities te coderen en pakketten te verifiëren met behulp van een digitale handtekening.
Randomisatiemodi voor adresruimten die in de Linux-kernel worden ondersteund, zijn geactiveerd, evenals beschermingsmechanismen tegen symlink-aanvallen, mmap, /dev/mem en /dev/kmem. De geheugengebieden die segmenten met kernel- en modulegegevens bevatten, zijn ingesteld op alleen-lezen-modus en het uitvoeren van code is verboden. Een optionele optie is het uitschakelen van het laden van kernelmodules na systeeminitialisatie. De iptables toolkit wordt gebruikt om netwerkpakketten te filteren. In de bouwfase is de bescherming tegen stackoverflows, bufferoverflows en problemen met de opmaak van tekenreeksen standaard ingeschakeld (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
De systeembeheerder systemd wordt gebruikt om services te beheren en op te starten. RPM- en DNF-pakketbeheerders zijn bedoeld voor pakketbeheer. De SSH-server is standaard niet ingeschakeld. Om de distributie te installeren, wordt een installatieprogramma meegeleverd dat zowel in tekst- als grafische modus kan werken. Het installatieprogramma biedt de mogelijkheid om te installeren met een volledige of basisset pakketten, en biedt een interface voor het selecteren van een schijfpartitie, het selecteren van een hostnaam en het aanmaken van gebruikers.
Bron: opennet.ru