Microsoft ได้เผยแพร่การอัปเดตชุดการแจกจ่าย CBL-Mariner 2.0.20221029 (Common Base Linux Mariner) ซึ่งกำลังได้รับการพัฒนาเป็นแพลตฟอร์มพื้นฐานสากลสำหรับสภาพแวดล้อม Linux ที่ใช้ในโครงสร้างพื้นฐานคลาวด์ ระบบ Edge และบริการต่างๆ ของ Microsoft โครงการนี้มีวัตถุประสงค์เพื่อรวมโซลูชัน Microsoft Linux และลดความซับซ้อนในการบำรุงรักษาระบบ Linux เพื่อวัตถุประสงค์ต่างๆ ที่ทันสมัย การพัฒนาของโครงการได้รับการเผยแพร่ภายใต้ใบอนุญาต MIT แพ็คเกจถูกสร้างขึ้นสำหรับสถาปัตยกรรม aarch64 และ x86_64 อิมเมจ ISO ที่สามารถบูตได้เตรียมไว้ (1.1 GB) สำหรับสถาปัตยกรรม x86_64
ในเวอร์ชันใหม่:
- เวอร์ชันแพ็คเกจที่อัปเดต รวมถึงรุ่นที่เสนอของเคอร์เนล Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1
- เพิ่มแพ็คเกจใหม่ cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability
- รวมโมดูลสำหรับการเปลี่ยนอัลกอริทึมการควบคุมความแออัดของ TCP (ความแออัดของ TCP)
- การแก้ไขช่องโหว่ได้ถูกย้ายไปยัง libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, แพ็คเกจ terraform
การกระจาย CBL-Mariner มอบชุดแพ็คเกจพื้นฐานมาตรฐานขนาดเล็กที่ทำหน้าที่เป็นพื้นฐานสากลสำหรับการสร้างเนื้อหาของคอนเทนเนอร์ สภาพแวดล้อมโฮสต์ และบริการที่ทำงานในโครงสร้างพื้นฐานคลาวด์และอุปกรณ์บนขอบ โซลูชันที่ซับซ้อนและพิเศษยิ่งขึ้นสามารถสร้างขึ้นได้โดยการเพิ่มแพ็คเกจเพิ่มเติมที่ด้านบนของ CBL-Mariner แต่พื้นฐานของระบบดังกล่าวทั้งหมดยังคงเหมือนเดิม ทำให้การบำรุงรักษาและการอัปเดตง่ายขึ้น ตัวอย่างเช่น CBL-Mariner ถูกใช้เป็นพื้นฐานสำหรับ WSLg mini-distribution ซึ่งจัดเตรียมส่วนประกอบกราฟิกสแต็กสำหรับการรันแอปพลิเคชัน Linux GUI ในสภาพแวดล้อมตามระบบย่อย WSL2 (ระบบย่อย Windows สำหรับ Linux) ฟังก์ชันการทำงานเพิ่มเติมใน WSLg เกิดขึ้นได้จากการรวมแพ็คเกจเพิ่มเติมเข้ากับ Weston Composite Server, XWayland, PulseAudio และ FreeRDP
ระบบการสร้าง CBL-Mariner ช่วยให้คุณสร้างทั้งแพ็คเกจ RPM แต่ละรายการโดยอิงตามไฟล์ SPEC และซอร์สโค้ด รวมถึงอิมเมจระบบขนาดใหญ่ที่สร้างขึ้นโดยใช้ชุดเครื่องมือ rpm-ostree และอัปเดตแบบอะตอมมิกโดยไม่ต้องแยกออกเป็นแพ็คเกจแยกกัน ดังนั้นจึงรองรับโมเดลการจัดส่งการอัปเดตสองรูปแบบ: ผ่านการอัพเดตแต่ละแพ็คเกจ และผ่านการสร้างใหม่และอัพเดตอิมเมจระบบทั้งหมด มีพื้นที่เก็บข้อมูลแพ็คเกจ RPM ที่สร้างไว้ล่วงหน้าประมาณ 3000 ชุด ซึ่งคุณสามารถใช้เพื่อสร้างอิมเมจของคุณเองตามไฟล์การกำหนดค่า
การแจกจ่ายประกอบด้วยส่วนประกอบที่จำเป็นที่สุดเท่านั้น และได้รับการปรับให้เหมาะสมเพื่อให้ใช้หน่วยความจำและเนื้อที่ดิสก์น้อยที่สุด รวมถึงมีความเร็วในการโหลดสูง การกระจายยังโดดเด่นด้วยการรวมกลไกเพิ่มเติมต่างๆ เพื่อเพิ่มความปลอดภัย โปรเจ็กต์ใช้แนวทาง "การรักษาความปลอดภัยสูงสุดตามค่าเริ่มต้น" คุณสามารถกรองการเรียกของระบบโดยใช้กลไก seccomp เข้ารหัสพาร์ติชันดิสก์ และตรวจสอบแพ็คเกจโดยใช้ลายเซ็นดิจิทัล
มีการเปิดใช้งานโหมดสุ่มพื้นที่ที่อยู่ที่รองรับในเคอร์เนล Linux เช่นเดียวกับกลไกการป้องกันการโจมตี symlink, mmap, /dev/mem และ /dev/kmem พื้นที่หน่วยความจำที่ประกอบด้วยเซ็กเมนต์ที่มีข้อมูลเคอร์เนลและโมดูลถูกตั้งค่าเป็นโหมดอ่านอย่างเดียว และห้ามใช้โค้ด ตัวเลือกทางเลือกคือการปิดใช้งานการโหลดโมดูลเคอร์เนลหลังจากการเตรียมใช้งานระบบ ชุดเครื่องมือ iptables ใช้เพื่อกรองแพ็กเก็ตเครือข่าย ในขั้นตอนการสร้าง การป้องกันสแต็กโอเวอร์โฟลว์ บัฟเฟอร์โอเวอร์โฟลว์ และปัญหาการจัดรูปแบบสตริงจะถูกเปิดใช้งานตามค่าเริ่มต้น (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro)
ตัวจัดการระบบ systemd ใช้เพื่อจัดการบริการและการบูต ตัวจัดการแพ็คเกจ RPM และ DNF มีไว้สำหรับการจัดการแพ็คเกจ เซิร์ฟเวอร์ SSH ไม่ได้เปิดใช้งานตามค่าเริ่มต้น ในการติดตั้งการแจกจ่าย จะมีตัวติดตั้งที่สามารถทำงานได้ทั้งในโหมดข้อความและกราฟิก โปรแกรมติดตั้งมีตัวเลือกในการติดตั้งด้วยแพ็คเกจเต็มหรือชุดพื้นฐาน และนำเสนออินเทอร์เฟซสำหรับการเลือกพาร์ติชันของดิสก์ การเลือกชื่อโฮสต์ และการสร้างผู้ใช้
ที่มา: opennet.ru