微软发布了新发行版分支 CBL-Mariner 2.0(Common Base Linux Mariner)的第一个稳定更新,该版本正在开发为云基础设施、边缘系统和各种微软服务中使用的 Linux 环境的通用基础平台。 该项目旨在统一 Microsoft Linux 解决方案并简化最新各种用途的 Linux 系统的维护。 该项目的开发是在麻省理工学院的许可下分发的。 为 aarch64 和 x86_64 架构生成包构建。
新版本的显着之处在于程序版本的重大更新。 包括Linux内核5.15的更新版本(在1.0分支中使用了5.4内核)、systemd 250、glibc 2.35、GCC 11.2、clang 12、Python 3.9、ruby 3.1.2、rpm 4.17、qemu 6.1、perl 5.34 ,奥斯特里2022.1。 核心存储库包括 GUI 组件,例如 Wayland 1.20、Mesa 21.0、GTK 3.24 和 X.Org Server 1.20.10,这些组件以前在单独的 coreui 存储库中提供。 添加了带有 PREEMPT_RT 补丁的内核构建,以便在实时系统中使用。
CBL-Mariner 发行版提供了一组小型标准基本包,可作为创建在云基础设施和边缘设备上运行的容器、主机环境和服务内容的通用基础。 可以通过在 CBL-Mariner 之上添加额外的软件包来创建更复杂和专业的解决方案,但所有此类系统的基础保持不变,使维护和更新更加容易。 例如,CBL-Mariner 被用作 WSLg 迷你发行版的基础,它提供了图形堆栈组件,用于在基于 WSL2(Windows Subsystem for Linux)子系统的环境中运行 Linux GUI 应用程序。 WSLg 中的扩展功能是通过包含 Weston Composite Server、XWayland、PulseAudio 和 FreeRDP 的附加软件包来实现的。
CBL-Mariner 构建系统允许您基于 SPEC 文件和源代码生成单独的 RPM 包,以及使用 rpm-ostree 工具包生成并原子更新的整体系统映像,而无需拆分为单独的包。 因此,支持两种更新交付模型:通过更新单个包以及通过重建和更新整个系统映像。 提供了大约 3000 个预构建 RPM 软件包的存储库,您可以使用它们基于配置文件构建自己的映像。
该发行版仅包含最必要的组件,并针对最小内存和磁盘空间消耗以及高加载速度进行了优化。 该发行版还因包含各种增强安全性的附加机制而引人注目。 该项目采用“默认最大安全性”方法。 可以使用 seccomp 机制过滤系统调用、加密磁盘分区以及使用数字签名验证包。
Linux 内核中支持的地址空间随机化模式被激活,以及针对符号链接攻击、mmap、/dev/mem 和 /dev/kmem 的保护机制。 包含内核和模块数据段的内存区域被设置为只读模式,并且禁止代码执行。 一个可选选项是在系统初始化后禁用加载内核模块。 iptables工具包用于过滤网络数据包。 在构建阶段,默认启用针对堆栈溢出、缓冲区溢出和字符串格式化问题的保护(_FORTIFY_SOURCE、-fstack-protector、-Wformat-security、relro)。
系统管理器systemd用于管理服务和启动。 提供了 RPM 和 DNF 包管理器来进行包管理。 默认情况下未启用 SSH 服务器。 为了安装该发行版,提供了一个可以在文本和图形模式下工作的安装程序。 安装程序提供了使用完整或基本软件包集进行安装的选项,并提供了用于选择磁盘分区、选择主机名和创建用户的界面。
来源: opennet.ru