Microsoft ka publikuar një përditësim të kompletit të shpërndarjes CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), i cili po zhvillohet si një platformë bazë universale për mjediset Linux të përdorura në infrastrukturën cloud, sistemet e skajeve dhe shërbime të ndryshme të Microsoft. Projekti ka për qëllim unifikimin e zgjidhjeve të Microsoft Linux dhe thjeshtimin e mirëmbajtjes së sistemeve Linux për qëllime të ndryshme deri më tani. Zhvillimet e projektit shpërndahen nën licencën MIT. Paketat krijohen për arkitekturat aarch64 dhe x86_64. Imazhi ISO i bootueshëm i përgatitur (1.1 GB) për arkitekturën x86_64.
Në versionin e ri:
- Versionet e përditësuara të paketave, duke përfshirë lëshimet e propozuara të kernelit Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2. 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- U shtuan paketa të reja cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Modulet e përfshira për ndryshimin e algoritmit të kontrollit të kongjestionit TCP (TCP Congestion).
- Rregullimet e dobësive janë zhvendosur në paketat libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Shpërndarja CBL-Mariner ofron një grup të vogël standard paketash bazë që shërbejnë si një bazë universale për krijimin e përmbajtjes së kontejnerëve, mjediseve pritës dhe shërbimeve që funksionojnë në infrastrukturat cloud dhe në pajisjet e fundit. Zgjidhje më komplekse dhe të specializuara mund të krijohen duke shtuar paketa shtesë në krye të CBL-Mariner, por baza për të gjitha sistemet e tilla mbetet e njëjtë, duke e bërë mirëmbajtjen dhe përditësimet më të lehta. Për shembull, CBL-Mariner përdoret si bazë për mini-shpërndarjen WSLg, e cila ofron komponentë grafikë për ekzekutimin e aplikacioneve Linux GUI në mjedise të bazuara në nënsistemin WSL2 (Windows Subsystem for Linux). Funksionaliteti i zgjeruar në WSLg realizohet përmes përfshirjes së paketave shtesë me Weston Composite Server, XWayland, PulseAudio dhe FreeRDP.
Sistemi i ndërtimit CBL-Mariner ju lejon të gjeneroni të dyja paketat individuale RPM bazuar në skedarët SPEC dhe kodin burimor, si dhe imazhet monolit të sistemit të krijuara duke përdorur paketën e veglave rpm-ostree dhe të përditësuara në mënyrë atomike pa u ndarë në paketa të veçanta. Prandaj, mbështeten dy modele të shpërndarjes së përditësimeve: nëpërmjet përditësimit të paketave individuale dhe nëpërmjet rindërtimit dhe përditësimit të të gjithë imazhit të sistemit. Një depo prej rreth 3000 paketash RPM të para-ndërtuara është në dispozicion që mund t'i përdorni për të ndërtuar imazhet tuaja bazuar në një skedar konfigurimi.
Shpërndarja përfshin vetëm komponentët më të nevojshëm dhe është optimizuar për konsum minimal të memories dhe hapësirës në disk, si dhe shpejtësi të lartë ngarkimi. Shpërndarja është gjithashtu e dukshme për përfshirjen e mekanizmave të ndryshëm shtesë për të rritur sigurinë. Projekti merr një qasje "sigurie maksimale si parazgjedhje". Është e mundur të filtroni thirrjet e sistemit duke përdorur mekanizmin seccomp, të kriptoni ndarjet e diskut dhe të verifikoni paketat duke përdorur një nënshkrim dixhital.
Aktivizohen mënyrat e rastësishme të hapësirës së adresave të mbështetura në kernelin Linux, si dhe mekanizmat e mbrojtjes kundër sulmeve të lidhjeve simbolike, mmap, /dev/mem dhe /dev/kmem. Zonat e memories që përmbajnë segmente me të dhëna të kernelit dhe modulit janë vendosur në modalitetin vetëm për lexim dhe ekzekutimi i kodit është i ndaluar. Një opsion opsional është të çaktivizoni ngarkimin e moduleve të kernelit pas inicializimit të sistemit. Paketa e veglave iptables përdoret për të filtruar paketat e rrjetit. Në fazën e ndërtimit, mbrojtja kundër tejmbushjeve të stivës, tejmbushjeve të buferit dhe problemeve të formatimit të vargjeve është aktivizuar si parazgjedhje (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Menaxheri i sistemit systemd përdoret për të menaxhuar shërbimet dhe për të nisur. Menaxherët e paketave RPM dhe DNF ofrohen për menaxhimin e paketave. Serveri SSH nuk është i aktivizuar si parazgjedhje. Për të instaluar shpërndarjen, sigurohet një instalues që mund të funksionojë si në modalitet teksti ashtu edhe në atë grafik. Instaluesi ofron opsionin e instalimit me një grup të plotë ose bazë paketash dhe ofron një ndërfaqe për zgjedhjen e një ndarje të diskut, zgjedhjen e emrit të hostit dhe krijimin e përdoruesve.
Burimi: opennet.ru