Nag-publish ang Microsoft ng update sa distribution kit na CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), na binuo bilang isang unibersal na base platform para sa mga Linux environment na ginagamit sa cloud infrastructure, edge system at iba't ibang serbisyo ng Microsoft. Ang proyekto ay naglalayong pag-isahin ang mga solusyon sa Microsoft Linux at pasimplehin ang pagpapanatili ng mga sistema ng Linux para sa iba't ibang layunin hanggang sa kasalukuyan. Ang mga pagpapaunlad ng proyekto ay ipinamamahagi sa ilalim ng lisensya ng MIT. Ang mga package ay nabuo para sa aarch64 at x86_64 na mga arkitektura. Inihanda ang bootable na ISO image (1.1 GB) para sa x86_64 architecture.
Sa bagong bersyon:
- Mga na-update na bersyon ng package, kabilang ang mga iminungkahing release ng Linux kernel 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Nagdagdag ng mga bagong package cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- May kasamang mga module para sa pagbabago ng TCP congestion control algorithm (TCP Congestion).
- Ang mga pag-aayos ng kahinaan ay inilipat sa libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform packages.
Ang pamamahagi ng CBL-Mariner ay nagbibigay ng maliit na karaniwang hanay ng mga pangunahing pakete na nagsisilbing unibersal na batayan para sa paglikha ng mga nilalaman ng mga container, host environment at mga serbisyong tumatakbo sa mga imprastraktura ng cloud at sa mga edge na device. Ang mga mas kumplikado at espesyal na solusyon ay maaaring gawin sa pamamagitan ng pagdaragdag ng mga karagdagang pakete sa itaas ng CBL-Mariner, ngunit ang batayan para sa lahat ng naturang sistema ay nananatiling pareho, na ginagawang mas madali ang pagpapanatili at pag-update. Halimbawa, ginagamit ang CBL-Mariner bilang batayan para sa mini-distribution ng WSLg, na nagbibigay ng mga bahagi ng graphics stack para sa pagpapatakbo ng mga Linux GUI application sa mga kapaligiran batay sa subsystem ng WSL2 (Windows Subsystem para sa Linux). Ang pinalawak na functionality sa WSLg ay naisasakatuparan sa pamamagitan ng pagsasama ng mga karagdagang pakete sa Weston Composite Server, XWayland, PulseAudio at FreeRDP.
Binibigyang-daan ka ng CBL-Mariner build system na bumuo ng parehong indibidwal na RPM packages batay sa mga SPEC file at source code, pati na rin ang mga monolithic system na imahe na nabuo gamit ang rpm-ostree toolkit at na-update nang atomically nang hindi nahahati sa magkahiwalay na mga pakete. Alinsunod dito, sinusuportahan ang dalawang modelo ng paghahatid ng update: sa pamamagitan ng pag-update ng mga indibidwal na pakete at sa pamamagitan ng muling pagtatayo at pag-update ng buong imahe ng system. Available ang repositoryo ng humigit-kumulang 3000 pre-built na RPM packages na magagamit mo para bumuo ng sarili mong mga larawan batay sa isang configuration file.
Ang pamamahagi ay kinabibilangan lamang ng mga pinaka-kinakailangang bahagi at na-optimize para sa minimal na memorya at pagkonsumo ng espasyo sa disk, pati na rin ang mataas na bilis ng paglo-load. Ang pamamahagi ay kapansin-pansin din para sa pagsasama ng iba't ibang mga karagdagang mekanismo upang mapahusay ang seguridad. Ang proyekto ay tumatagal ng isang "maximum na seguridad bilang default" na diskarte. Posibleng i-filter ang mga tawag sa system gamit ang mekanismo ng seccomp, i-encrypt ang mga partisyon ng disk, at i-verify ang mga pakete gamit ang isang digital na lagda.
Ang mga mode ng randomization ng address space na sinusuportahan sa kernel ng Linux ay isinaaktibo, pati na rin ang mga mekanismo ng proteksyon laban sa mga pag-atake ng symlink, mmap, /dev/mem at /dev/kmem. Ang mga lugar ng memorya na naglalaman ng mga segment na may data ng kernel at module ay nakatakda sa read-only na mode at ipinagbabawal ang pagpapatupad ng code. Ang isang opsyonal na opsyon ay ang huwag paganahin ang paglo-load ng mga kernel module pagkatapos ng pagsisimula ng system. Ang iptables toolkit ay ginagamit upang i-filter ang mga network packet. Sa yugto ng pagbuo, ang proteksyon laban sa mga stack overflow, buffer overflow, at mga problema sa pag-format ng string ay pinagana bilang default (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Ang system manager systemd ay ginagamit upang pamahalaan ang mga serbisyo at boot. Ang mga manager ng package ng RPM at DNF ay ibinibigay para sa pamamahala ng package. Ang SSH server ay hindi pinagana bilang default. Upang i-install ang pamamahagi, isang installer ang ibinigay na maaaring gumana sa parehong text at graphical na mga mode. Ang installer ay nagbibigay ng opsyon sa pag-install na may buo o pangunahing hanay ng mga pakete, at nag-aalok ng interface para sa pagpili ng disk partition, pagpili ng host name, at paglikha ng mga user.
Pinagmulan: opennet.ru