Firma Microsoft opublikowała aktualizację pakietu dystrybucyjnego CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), który jest rozwijany jako uniwersalna platforma bazowa dla środowisk Linux wykorzystywanych w infrastrukturze chmurowej, systemach brzegowych i różnych usługach Microsoft. Projekt ma na celu ujednolicenie rozwiązań Microsoft Linux i uproszczenie utrzymania systemów Linux do różnych celów na bieżąco. Opracowania projektu są rozpowszechniane na licencji MIT. Pakiety są generowane dla architektur aarch64 i x86_64. Przygotowano startowy obraz ISO (1.1 GB) dla architektury x86_64.
W nowej wersji:
- Zaktualizowane wersje pakietów, w tym proponowane wydania jądra Linuksa 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, Wireshark 3.4.16, Nginx 1.22.1.
- Dodano nowe pakiety cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Dołączone moduły do zmiany algorytmu kontroli przeciążenia TCP (TCP Congestion).
- Poprawki luk zostały przeniesione do pakietów libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Dystrybucja CBL-Mariner dostarcza niewielki standardowy zestaw podstawowych pakietów, które stanowią uniwersalną podstawę do tworzenia zawartości kontenerów, środowisk hostowych i usług działających w infrastrukturze chmurowej i na urządzeniach brzegowych. Bardziej złożone i wyspecjalizowane rozwiązania można tworzyć, dodając dodatkowe pakiety do CBL-Mariner, ale podstawa wszystkich takich systemów pozostaje taka sama, co ułatwia konserwację i aktualizacje. Na przykład CBL-Mariner jest podstawą minidystrybucji WSLg, która dostarcza komponenty stosu graficznego do uruchamiania aplikacji Linux GUI w środowiskach opartych na podsystemie WSL2 (Windows Subsystem for Linux). Rozszerzona funkcjonalność WSLg jest realizowana poprzez włączenie dodatkowych pakietów z Weston Composite Server, XWayland, PulseAudio i FreeRDP.
System kompilacji CBL-Mariner umożliwia generowanie zarówno pojedynczych pakietów RPM w oparciu o pliki SPEC i kod źródłowy, jak i monolityczne obrazy systemu wygenerowane przy użyciu zestawu narzędzi RPM-ostree i aktualizowane atomowo bez dzielenia na osobne pakiety. W związku z tym obsługiwane są dwa modele dostarczania aktualizacji: poprzez aktualizację poszczególnych pakietów oraz poprzez przebudowę i aktualizację całego obrazu systemu. Dostępne jest repozytorium zawierające około 3000 gotowych pakietów RPM, których można używać do tworzenia własnych obrazów w oparciu o plik konfiguracyjny.
Dystrybucja zawiera tylko najbardziej niezbędne komponenty i jest zoptymalizowana pod kątem minimalnego zużycia pamięci i miejsca na dysku, a także dużej prędkości ładowania. Dystrybucja wyróżnia się także włączeniem różnych dodatkowych mechanizmów zwiększających bezpieczeństwo. W projekcie przyjęto podejście „domyślnie maksymalne bezpieczeństwo”. Możliwe jest filtrowanie wywołań systemowych za pomocą mechanizmu seccomp, szyfrowanie partycji dyskowych oraz weryfikacja pakietów za pomocą podpisu cyfrowego.
Aktywowane są tryby randomizacji przestrzeni adresowej obsługiwane w jądrze Linuksa, a także mechanizmy ochrony przed atakami na dowiązania symboliczne, mmap, /dev/mem i /dev/kmem. Obszary pamięci zawierające segmenty z danymi jądra i modułu są ustawione w tryb tylko do odczytu i wykonanie kodu jest zabronione. Opcjonalną opcją jest wyłączenie ładowania modułów jądra po inicjalizacji systemu. Zestaw narzędzi iptables służy do filtrowania pakietów sieciowych. Na etapie kompilacji domyślnie włączona jest ochrona przed przepełnieniem stosu, przepełnieniem bufora i problemami z formatowaniem ciągów (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Menedżer systemu systemd służy do zarządzania usługami i uruchamianiem systemu. Do zarządzania pakietami służą menedżery pakietów RPM i DNF. Serwer SSH nie jest domyślnie włączony. Aby zainstalować dystrybucję, dostępny jest instalator, który może pracować zarówno w trybie tekstowym, jak i graficznym. Instalator umożliwia instalację z pełnym lub podstawowym zestawem pakietów oraz oferuje interfejs umożliwiający wybór partycji dysku, nazwę hosta i tworzenie użytkowników.
Źródło: opennet.ru