Microsoft a publicat o actualizare a kit-ului de distribuție CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), care este dezvoltat ca o platformă de bază universală pentru mediile Linux utilizate în infrastructura cloud, sisteme edge și diverse servicii Microsoft. Proiectul are ca scop unificarea soluțiilor Linux utilizate în Microsoft și simplificarea întreținerii sistemelor Linux pentru diverse scopuri la zi. Dezvoltarile proiectului sunt distribuite sub licenta MIT. Pachetele sunt generate pentru arhitecturile aarch64 și x86_64. Imagine ISO bootabilă pregătită (1.1 GB) pentru arhitectura x86_64.
În noua versiune:
- Versiuni actualizate de pachet, inclusiv versiuni propuse ale nucleului Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy. 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- S-au adăugat pachete noi cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Module incluse pentru modificarea algoritmului de control al congestiei TCP (TCP Congestion).
- Remedierile de vulnerabilitate au fost mutate în pachetele libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Distribuția CBL-Mariner oferă un mic set standard de pachete de bază care servesc drept bază universală pentru crearea conținutului containerelor, mediilor gazdă și serviciilor care rulează în infrastructurile cloud și pe dispozitive edge. Soluții mai complexe și specializate pot fi create prin adăugarea de pachete suplimentare pe lângă CBL-Mariner, dar baza pentru toate astfel de sisteme rămâne aceeași, facilitând întreținerea și actualizările. De exemplu, CBL-Mariner este folosit ca bază pentru mini-distribuția WSLg, care oferă componente grafice pentru rularea aplicațiilor GUI Linux în medii bazate pe subsistemul WSL2 (Windows Subsystem for Linux). Funcționalitatea extinsă în WSLg este realizată prin includerea de pachete suplimentare cu Weston Composite Server, XWayland, PulseAudio și FreeRDP.
Sistemul de compilare CBL-Mariner vă permite să generați atât pachete RPM individuale bazate pe fișiere SPEC și cod sursă, cât și imagini de sistem monolitice generate folosind setul de instrumente rpm-ostree și actualizate atomic, fără a fi împărțite în pachete separate. În consecință, sunt acceptate două modele de livrare a actualizărilor: prin actualizarea pachetelor individuale și prin reconstruirea și actualizarea întregii imagini a sistemului. Este disponibil un depozit de aproximativ 3000 de pachete RPM prefabricate pe care le puteți folosi pentru a vă construi propriile imagini pe baza unui fișier de configurare.
Distribuția include doar cele mai necesare componente și este optimizată pentru un consum minim de memorie și spațiu pe disc, precum și pentru o viteză mare de încărcare. Distribuția se remarcă și prin includerea diferitelor mecanisme suplimentare pentru a spori securitatea. Proiectul adoptă o abordare de „securitate maximă implicită”. Este posibil să filtrați apelurile de sistem folosind mecanismul seccomp, să criptați partițiile de disc și să verificați pachetele folosind o semnătură digitală.
Sunt activate modurile de randomizare a spațiului de adrese acceptate în nucleul Linux, precum și mecanismele de protecție împotriva atacurilor prin linkuri simbolice, mmap, /dev/mem și /dev/kmem. Zonele de memorie care conțin segmente cu date de nucleu și modul sunt setate în modul numai citire și execuția codului este interzisă. O opțiune opțională este de a dezactiva încărcarea modulelor kernel după inițializarea sistemului. Setul de instrumente iptables este folosit pentru a filtra pachetele de rețea. În etapa de construire, protecția împotriva depășirilor de stive, depășirilor de buffer și a problemelor de formatare a șirurilor este activată în mod implicit (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Managerul de sistem systemd este utilizat pentru a gestiona serviciile și pentru a porni. Managerii de pachete RPM și DNF sunt furnizați pentru gestionarea pachetelor. Serverul SSH nu este activat implicit. Pentru a instala distribuția, este furnizat un program de instalare care poate funcționa atât în mod text, cât și în mod grafic. Programul de instalare oferă opțiunea de instalare cu un set complet sau de bază de pachete și oferă o interfață pentru selectarea unei partiții de disc, selectarea unui nume de gazdă și crearea de utilizatori.
Sursa: opennet.ru