Spoločnosť Microsoft zverejnila aktualizáciu distribučnej súpravy CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), ktorá sa vyvíja ako univerzálna základná platforma pre prostredia Linuxu používané v cloudovej infraštruktúre, okrajových systémoch a rôznych službách spoločnosti Microsoft. Projekt je zameraný na zjednotenie linuxových riešení používaných v Microsofte a zjednodušenie údržby linuxových systémov na rôzne účely. Vývoj projektu je distribuovaný pod licenciou MIT. Balíky sú generované pre architektúry aarch64 a x86_64. Spúšťací obraz ISO pripravený (1.1 GB) pre architektúru x86_64.
V novej verzii:
- Aktualizované verzie balíkov vrátane navrhovaných vydaní jadra Linuxu 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Pridané nové balíky cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Súčasťou sú moduly na zmenu algoritmu riadenia preťaženia TCP.
- Presunuté opravy zraniteľnosti do balíkov libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Distribučná súprava CBL-Mariner poskytuje malú štandardnú sadu základných balíkov, ktoré slúžia ako univerzálny základ pre vytváranie výplne kontajnerov, hostiteľských prostredí a služieb spúšťaných v cloudových infraštruktúrach a na okrajových zariadeniach. Zložitejšie a špecializované riešenia možno vytvoriť pridaním ďalších balíkov na vrch CBL-Mariner, ale základ pre všetky takéto systémy zostáva rovnaký, čo uľahčuje údržbu a prípravu upgradov. Napríklad CBL-Mariner sa používa ako základ pre distribúciu WSLg mini, ktorá poskytuje komponenty grafického zásobníka pre spustenie aplikácií GUI pre Linux v prostrediach WSL2 (Windows Subsystem for Linux). Rozšírená funkčnosť vo WSLg je realizovaná zahrnutím ďalších balíčkov s Weston Composite Server, XWayland, PulseAudio a FreeRDP.
Zostavovací systém CBL-Mariner vám umožňuje vytvárať samostatné balíčky RPM založené na súboroch a zdrojoch SPEC, ako aj monolitické obrazy systému generované pomocou súpravy nástrojov rpm-ostree a aktualizované atomicky bez rozdelenia na samostatné balíčky. V súlade s tým sú podporované dva modely poskytovania aktualizácií: aktualizáciou jednotlivých balíkov a prestavbou a aktualizáciou celého obrazu systému. K dispozícii je úložisko s už vytvorenými približne 3000 XNUMX otáčkami za minútu, ktoré môžete použiť na vytvorenie vlastných obrázkov na základe konfiguračného súboru.
Distribúcia obsahuje len tie najnutnejšie komponenty a je optimalizovaná pre minimálnu spotrebu pamäte a miesta na disku, ako aj pre vysoké rýchlosti sťahovania. Distribúcia je tiež pozoruhodná tým, že obsahuje rôzne dodatočné bezpečnostné mechanizmy. Projekt využíva prístup „maximálna bezpečnosť v predvolenom nastavení“. Poskytuje možnosť filtrovať systémové volania pomocou mechanizmu seccomp, šifrovať diskové oddiely a overovať balíky digitálnym podpisom.
Sú aktivované režimy randomizácie adresného priestoru podporované v jadre Linuxu, ako aj ochranné mechanizmy proti útokom súvisiacim so symbolickými odkazmi, mmap, /dev/mem a /dev/kmem. Pre oblasti pamäte, ktoré obsahujú segmenty s údajmi jadra a modulu, je režim nastavený len na čítanie a spustenie kódu je zakázané. Voliteľne je k dispozícii možnosť zakázať načítanie modulov jadra po inicializácii systému. Na filtrovanie sieťových paketov sa používa sada nástrojov iptables. V predvolenom nastavení prechod na zostavenie umožňuje režimy ochrany proti pretečeniu zásobníka, pretečeniu vyrovnávacej pamäte a problémom s formátovaním reťazcov (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Systémový manažér systemd sa používa na správu služieb a zavádzanie. Na správu balíkov sú k dispozícii správcovia balíkov RPM a DNF. Server SSH nie je v predvolenom nastavení povolený. Na inštaláciu distribúcie je k dispozícii inštalačný program, ktorý môže pracovať v textovom aj grafickom režime. Inštalačný program poskytuje možnosť inštalácie s úplnou alebo základnou sadou balíkov, ponúka rozhranie na výber diskovej oblasti, výber názvu hostiteľa a vytváranie používateľov.
Zdroj: opennet.ru