A Microsoft publicou uma atualização para o kit de distribuição CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), que está sendo desenvolvido como uma plataforma base universal para ambientes Linux usados em infraestrutura em nuvem, sistemas de borda e diversos serviços Microsoft. O projeto visa unificar soluções Microsoft Linux e simplificar a manutenção de sistemas Linux para diversas finalidades atualizadas. Os desenvolvimentos do projeto são distribuídos sob licença do MIT. Os pacotes são gerados para arquiteturas aarch64 e x86_64. Imagem ISO inicializável preparada (1.1 GB) para arquitetura x86_64.
Na nova versão:
- Versões de pacotes atualizadas, incluindo versões propostas do kernel Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wirehark 3.4.16, nginx 1.22.1.
- Adicionados novos pacotes cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Módulos incluídos para alterar o algoritmo de controle de congestionamento TCP (TCP Congestion).
- As correções de vulnerabilidade foram movidas para os pacotes libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
A distribuição CBL-Mariner fornece um pequeno conjunto padrão de pacotes básicos que servem como base universal para a criação de conteúdos de contêineres, ambientes de host e serviços executados em infraestruturas de nuvem e em dispositivos de ponta. Soluções mais complexas e especializadas podem ser criadas adicionando pacotes adicionais ao CBL-Mariner, mas a base para todos esses sistemas permanece a mesma, facilitando a manutenção e as atualizações. Por exemplo, CBL-Mariner é usado como base para a minidistribuição WSLg, que fornece componentes de pilha gráfica para executar aplicativos Linux GUI em ambientes baseados no subsistema WSL2 (Windows Subsystem for Linux). A funcionalidade estendida no WSLg é obtida através da inclusão de pacotes adicionais com Weston Composite Server, XWayland, PulseAudio e FreeRDP.
O sistema de construção CBL-Mariner permite gerar pacotes RPM individuais baseados em arquivos SPEC e código-fonte, bem como imagens de sistema monolíticas geradas usando o kit de ferramentas rpm-ostree e atualizadas atomicamente sem dividir em pacotes separados. Conseqüentemente, dois modelos de entrega de atualização são suportados: através da atualização de pacotes individuais e através da reconstrução e atualização de toda a imagem do sistema. Está disponível um repositório de aproximadamente 3000 pacotes RPM pré-construídos que você pode usar para construir suas próprias imagens com base em um arquivo de configuração.
A distribuição inclui apenas os componentes mais necessários e é otimizada para consumo mínimo de memória e espaço em disco, além de alta velocidade de carregamento. A distribuição também se destaca pela inclusão de vários mecanismos adicionais para aumentar a segurança. O projeto adota uma abordagem de “segurança máxima por padrão”. É possível filtrar chamadas do sistema usando o mecanismo seccomp, criptografar partições de disco e verificar pacotes usando assinatura digital.
Os modos de randomização do espaço de endereço suportados no kernel Linux são ativados, bem como mecanismos de proteção contra ataques de links simbólicos, mmap, /dev/mem e /dev/kmem. As áreas de memória que contêm segmentos com dados do kernel e do módulo são configuradas para modo somente leitura e a execução de código é proibida. Uma opção opcional é desabilitar o carregamento de módulos do kernel após a inicialização do sistema. O kit de ferramentas iptables é usado para filtrar pacotes de rede. No estágio de construção, a proteção contra estouros de pilha, estouros de buffer e problemas de formatação de string é habilitada por padrão (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
O gerenciador de sistema systemd é usado para gerenciar serviços e inicialização. Os gerenciadores de pacotes RPM e DNF são fornecidos para gerenciamento de pacotes. O servidor SSH não está habilitado por padrão. Para instalar a distribuição, é fornecido um instalador que pode funcionar tanto em modo texto quanto gráfico. O instalador oferece a opção de instalação com um conjunto completo ou básico de pacotes e oferece uma interface para selecionar uma partição de disco, selecionar um nome de host e criar usuários.
Fonte: opennet.ru