Компанія Microsoft опублікувала оновлення дистрибутива CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), який розвивається як універсальна базова платформа для Linux-оточень, що використовуються в хмарній інфраструктурі, edge-системах і різних сервісах Microsoft. Проект націлений на уніфікацію застосовуваних у Microsoft Linux-рішень та спрощення підтримки Linux-систем різного призначення в актуальному стані. Напрацювання проекту розповсюджуються під ліцензією MIT. Пакети формуються для архітектур aarch64 та x86_64. Завантажувальний образ ISO підготовлений (1.1 ГБ) для архітектури x86_64.
В новой версії:
- Оновлено версії пакетів, в тому числі запропоновано випуски ядра Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2 tidy 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Додані нові пакети cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Включені модулі зміни алгоритму управління перевантаженням TCP (TCP Congestion).
- Перенесено виправлення вразливостей у пакети libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Дистрибутив CBL-Mariner надає невеликий типовий набір основних пакетів, що є універсальною основою для створення начинки контейнерів, хост-оточень та сервісів, що запускаються в хмарних інфраструктурах та на edge-пристроях. Більш складні та спеціалізовані рішення можуть створюватись шляхом додавання додаткових пакетів поверх CBL-Mariner, але основа для всіх подібних систем залишається незмінною, що спрощує супровід та підготовку оновлень. Наприклад, CBL-Mariner застосовується як основа міні-дистрибутива WSLg, в якому надаються компоненти графічного стека для організації запуску GUI-додатків Linux в оточеннях на базі підсистеми WSL2 (Windows Subsystem for Linux). Розширена функціональність WSLg реалізується через включення додаткових пакетів з композитним сервером Weston, XWayland, PulseAudio і FreeRDP.
Система складання CBL-Mariner дозволяє генерувати як окремі RPM-пакети на основі SPEC-файлів та вихідних текстів, так і монолітні системні образи, що формуються за допомогою інструментарію rpm-ostree та оновлюються атомарно без розбивки на окремі пакети. Відповідно, підтримується дві моделі доставки оновлень: через оновлення окремих пакетів та через перебудову та оновлення всього системного образу. Доступний репозиторій, що включає близько 3000 вже зібраних пакетів RPM, який можна використовувати для компонування власних образів на основі файлу конфігурації.
Дистрибутив включає тільки необхідні компоненти і оптимізований для мінімального споживання пам'яті і дискового простору, а також для високої швидкості завантаження. Дистрибутив також примітний включенням різних додаткових механізмів підвищення захисту. У проекті застосовується підхід «максимальна безпека за умовчанням». Надається можливість фільтрації системних викликів за допомогою механізму seccomp, шифрування дискових розділів, верифікації пакетів цифрового підпису.
Активовані режими рандомізації адресного простору, що підтримуються в ядрі Linux, а також механізми захисту від атак, пов'язаних із символічними посиланнями, mmap, /dev/mem і /dev/kmem. Для областей пам'яті, в яких розміщуються сегменти з даними ядра та модулів, встановлений режим лише для читання та заборонено виконання коду. Опціонально доступна можливість заборони завантаження модулів ядра після ініціалізації системи. Для фільтрації мережних пакетів задіяний інструментарій iptables. На етапі складання за замовчуванням включені режими захисту від переповнення стека, переповнення буфера та проблем з форматуванням рядків (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Для управління сервісами та завантаженням застосовується системний менеджер systemd. Для керування пакетами постачаються пакетні менеджери RPM та DNF. SSH-сервер за замовчуванням не вмикається. Для встановлення дистрибутива надається інсталятор, який може працювати як у текстовому, так і у графічному режимах. В інсталяторі надається можливість встановлення з повним або базовим набором пакетів, пропонується інтерфейс для вибору дискового розділу, вибору імені хоста та створення користувачів.
Джерело: opennet.ru