Microsoft đã xuất bản bản cập nhật cho bộ phân phối CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), bộ công cụ này đang được phát triển dưới dạng nền tảng cơ sở phổ quát cho các môi trường Linux được sử dụng trong cơ sở hạ tầng đám mây, hệ thống biên và các dịch vụ khác nhau của Microsoft. Dự án nhằm mục đích thống nhất các giải pháp Microsoft Linux và đơn giản hóa việc bảo trì hệ thống Linux cho các mục đích khác nhau cho đến nay. Sự phát triển của dự án được phân phối theo giấy phép MIT. Các gói được tạo cho kiến trúc aarch64 và x86_64. Đã chuẩn bị sẵn ảnh ISO có khả năng khởi động (1.1 GB) cho kiến trúc x86_64.
Trong phiên bản mới:
- Các phiên bản gói được cập nhật, bao gồm các bản phát hành được đề xuất của nhân Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, gọn gàng 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Đã thêm các gói mới cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Bao gồm các mô-đun để thay đổi thuật toán kiểm soát tắc nghẽn TCP (Tắc nghẽn TCP).
- Các bản sửa lỗi lỗ hổng đã được chuyển sang các gói libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Bản phân phối CBL-Mariner cung cấp một bộ gói cơ bản tiêu chuẩn nhỏ làm cơ sở chung để tạo nội dung của vùng chứa, môi trường máy chủ và dịch vụ chạy trong cơ sở hạ tầng đám mây và trên các thiết bị biên. Các giải pháp phức tạp và chuyên biệt hơn có thể được tạo ra bằng cách thêm các gói bổ sung lên trên CBL-Mariner, nhưng nền tảng cho tất cả các hệ thống như vậy vẫn giống nhau, giúp việc bảo trì và cập nhật dễ dàng hơn. Ví dụ: CBL-Mariner được sử dụng làm cơ sở cho bản phân phối mini WSLg, cung cấp các thành phần ngăn xếp đồ họa để chạy các ứng dụng GUI Linux trong môi trường dựa trên hệ thống con WSL2 (Hệ thống con Windows cho Linux). Chức năng mở rộng trong WSLg được hiện thực hóa thông qua việc đưa vào các gói bổ sung với Máy chủ tổng hợp Weston, XWayland, PulseAudio và FreeRDP.
Hệ thống xây dựng CBL-Mariner cho phép bạn tạo cả gói RPM riêng lẻ dựa trên tệp SPEC và mã nguồn, cũng như hình ảnh hệ thống nguyên khối được tạo bằng bộ công cụ vòng/phút-ostree và được cập nhật nguyên tử mà không cần chia thành các gói riêng biệt. Theo đó, hai mô hình phân phối cập nhật được hỗ trợ: thông qua cập nhật các gói riêng lẻ và thông qua việc xây dựng lại và cập nhật toàn bộ hình ảnh hệ thống. Hiện có sẵn kho lưu trữ khoảng 3000 gói RPM dựng sẵn mà bạn có thể sử dụng để xây dựng hình ảnh của riêng mình dựa trên tệp cấu hình.
Bản phân phối chỉ bao gồm các thành phần cần thiết nhất và được tối ưu hóa để tiêu thụ bộ nhớ và dung lượng ổ đĩa tối thiểu cũng như tốc độ tải cao. Việc phân phối cũng đáng chú ý vì bao gồm nhiều cơ chế bổ sung khác nhau để tăng cường bảo mật. Dự án áp dụng cách tiếp cận “bảo mật tối đa theo mặc định”. Có thể lọc các cuộc gọi hệ thống bằng cơ chế seccomp, mã hóa phân vùng đĩa và xác minh các gói bằng chữ ký số.
Các chế độ ngẫu nhiên hóa không gian địa chỉ được hỗ trợ trong nhân Linux được kích hoạt, cũng như các cơ chế bảo vệ chống lại các cuộc tấn công liên kết tượng trưng, mmap, /dev/mem và /dev/kmem. Vùng bộ nhớ chứa các phân đoạn có dữ liệu hạt nhân và mô-đun được đặt ở chế độ chỉ đọc và việc thực thi mã bị cấm. Có sẵn một tùy chọn để vô hiệu hóa việc tải mô-đun hạt nhân sau khi khởi tạo hệ thống. Bộ công cụ iptables được sử dụng để lọc các gói mạng. Ở giai đoạn xây dựng, tính năng bảo vệ chống tràn ngăn xếp, tràn bộ đệm và các vấn đề về định dạng chuỗi được bật theo mặc định (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
System manager systemd được sử dụng để quản lý các dịch vụ và khởi động. Trình quản lý gói RPM và DNF được cung cấp để quản lý gói. Máy chủ SSH không được bật theo mặc định. Để cài đặt bản phân phối, một trình cài đặt được cung cấp có thể hoạt động ở cả chế độ văn bản và đồ họa. Trình cài đặt cung cấp tùy chọn cài đặt với bộ gói đầy đủ hoặc cơ bản và cung cấp giao diện để chọn phân vùng đĩa, chọn tên máy chủ và tạo người dùng.
Nguồn: opennet.ru