Microsoft, bulut altyapısı, uç sistemler ve çeşitli Microsoft hizmetlerinde kullanılan Linux ortamları için evrensel bir temel platform olarak geliştirilen yeni dağıtım dalı CBL-Mariner 2.0'ın (Common Base Linux Mariner) ilk kararlı güncellemesini yayınladı. Proje, Microsoft'ta kullanılan Linux çözümlerinin birleştirilmesi ve çeşitli amaçlara yönelik Linux sistemlerinin güncel bakımının basitleştirilmesi amaçlanıyor. Projenin geliştirmeleri MIT lisansı altında dağıtılmaktadır. Paket yapıları aarch64 ve x86_64 mimarileri için oluşturulur.
Yeni sürüm, program sürümlerindeki önemli güncelleme açısından dikkat çekicidir. Linux çekirdeği 5.15'in güncellenmiş sürümleri dahil (1.0 dalında 5.4 çekirdeği kullanıldı), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34 , otree 2022.1. Çekirdek depo, daha önce ayrı bir coreui deposunda gönderilen Wayland 1.20, Mesa 21.0, GTK 3.24 ve X.Org Server 1.20.10 gibi GUI bileşenlerini içerir. Gerçek zamanlı sistemlerde kullanılmak üzere PREEMPT_RT yamalarına sahip çekirdek yapıları eklendi.
CBL-Mariner dağıtımı, bulut altyapılarında ve uç cihazlarda çalışan konteynerlerin, ana bilgisayar ortamlarının ve hizmetlerin içeriklerini oluşturmak için evrensel bir temel görevi gören küçük bir standart temel paket seti sağlar. CBL-Mariner'ın üstüne ek paketler eklenerek daha karmaşık ve özel çözümler oluşturulabilir, ancak bu tür sistemlerin hepsinin temeli aynı kalarak bakım ve güncellemeleri kolaylaştırır. Örneğin CBL-Mariner, WSL2 (Linux için Windows Alt Sistemi) alt sistemini temel alan ortamlarda Linux GUI uygulamalarını çalıştırmak için grafik yığını bileşenleri sağlayan WSLg mini dağıtımının temeli olarak kullanılır. WSLg'deki genişletilmiş işlevsellik, Weston Composite Server, XWayland, PulseAudio ve FreeRDP ile ek paketlerin dahil edilmesiyle gerçekleştirilir.
CBL-Mariner derleme sistemi, hem SPEC dosyalarına ve kaynak koduna dayalı bireysel RPM paketleri oluşturmanıza hem de rpm-ostree araç seti kullanılarak oluşturulan ve ayrı paketlere bölünmeden atomik olarak güncellenen monolitik sistem görüntüleri oluşturmanıza olanak tanır. Buna göre, iki güncelleme dağıtım modeli desteklenmektedir: bireysel paketlerin güncellenmesi ve tüm sistem görüntüsünün yeniden oluşturulup güncellenmesi yoluyla. Bir yapılandırma dosyasına dayalı olarak kendi görüntülerinizi oluşturmak için kullanabileceğiniz yaklaşık 3000 önceden oluşturulmuş RPM paketinden oluşan bir depo mevcuttur.
Dağıtım yalnızca en gerekli bileşenleri içerir ve minimum bellek ve disk alanı tüketiminin yanı sıra yüksek yükleme hızı için optimize edilmiştir. Dağıtım ayrıca güvenliği artırmak için çeşitli ek mekanizmaların dahil edilmesiyle de dikkat çekicidir. Proje “varsayılan olarak maksimum güvenlik” yaklaşımını benimsiyor. Seccomp mekanizmasını kullanarak sistem çağrılarını filtrelemek, disk bölümlerini şifrelemek ve dijital imza kullanarak paketleri doğrulamak mümkündür.
Linux çekirdeğinde desteklenen adres alanı rastgeleleştirme modlarının yanı sıra sembolik bağlantı saldırılarına, mmap, /dev/mem ve /dev/kmem'e karşı koruma mekanizmaları etkinleştirilir. Çekirdek ve modül verilerini içeren segmentleri içeren bellek alanları salt okunur moda ayarlanmıştır ve kod yürütülmesi yasaktır. İsteğe bağlı bir seçenek, sistem başlatıldıktan sonra çekirdek modüllerinin yüklenmesini devre dışı bırakmaktır. iptables araç seti ağ paketlerini filtrelemek için kullanılır. Oluşturma aşamasında, yığın taşmalarına, arabellek taşmalarına ve dize biçimlendirme sorunlarına karşı koruma varsayılan olarak etkindir (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistem yöneticisi systemd, hizmetleri ve önyüklemeyi yönetmek için kullanılır. Paket yönetimi için RPM ve DNF paket yöneticileri sağlanmıştır. SSH sunucusu varsayılan olarak etkin değildir. Dağıtımı kurmak için hem metin hem de grafik modlarında çalışabilen bir yükleyici sağlanmıştır. Yükleyici, tam veya temel paket seti ile kurulum seçeneği sunar ve disk bölümü seçmek, ana bilgisayar adı seçmek ve kullanıcılar oluşturmak için bir arayüz sunar.
Kaynak: opennet.ru