Microsoft представи наскоро освободен първата стабилна актуализация на новия клон на вашата Linux дистрибуция "CBL-Mariner 2.0" (Common Base Linux Mariner), който се разработва като универсална базова платформа за Linux среди, използвана в облачна инфраструктура, периферни системи и различни услуги на Microsoft.
Проектът има за цел да унифицира Linux решенията, използвани в Microsoft и да опрости поддръжката на Linux системи за различни цели до момента. Разработките на проекта се разпространяват под лиценза на MIT.
Относно CBL-Mariner
За тези, които не са запознати с CBL-Mariner, трябва да знаете, че това разпространение се характеризира с предоставяне малък стандартен набор от основни пакети, които служат като универсална основа за изграждане на контейнери, хостинг среди и услуги, работещи в облачни инфраструктури и периферни устройства.
По-сложни и специализирани решения могат да бъдат създадени чрез добавяне на допълнителни пакети към CBL-Mariner, но основата за всички тези системи остава същата, което улеснява поддръжката и подготовката за надстройки. Например, CBL-Mariner се използва като основа на WSLg мини-разпределението, който предоставя компоненти на графичния стек за стартиране на Linux GUI приложения в среди, базирани на подсистемата WSL2 (Windows Subsystem for Linux). Разширената функционалност в WSLg се осъществява чрез включване на допълнителни пакети с Weston Composite Server, XWayland, PulseAudio и FreeRDP.
Системата за изграждане на CBL-Mariner ви позволява да генерирате самостоятелни RPM пакети базирани на изходни и SPEC файлове, както и монолитни системни изображения, генерирани с инструментариума rpm-ostree и атомно актуализирани, без да се разделят на отделни пакети. Следователно се поддържат два модела за доставка на актуализации: чрез актуализиране на отделни пакети и чрез повторно изграждане и актуализиране на цялото изображение на системата. Предлага се хранилище с вече изградени около 3000 RPM, които можете да използвате, за да създадете свои собствени изображения въз основа на конфигурационния файл.
Разпределението включва само най-необходимите компоненти и е оптимизиран за минимална консумация на памет и дисково пространство, както и за висока скорост на изтегляне. Разпределението също се откроява с включването на няколко допълнителни механизма за сигурност.
Проектът използва подход "максимална сигурност по подразбиране". Предоставя възможност за филтриране на системни повиквания с помощта на механизма seccomp, криптиране на дискови дялове и проверка на пакети с помощта на цифрови подписи.
Активирани са режимите на рандомизиране на адресното пространство, поддържани в ядрото на Linux, както и защитните механизми срещу атаки, свързани със символни връзки, mmap, /dev/mem и /dev/kmem. За области на паметта, които съдържат сегменти с данни за ядрото и модула, режимът е настроен само за четене и изпълнението на код е забранено.
По желание е налична възможността за деактивиране на зареждането на модули на ядрото след инициализиране на системата. Инструментариумът iptables се използва за филтриране на мрежови пакети. По подразбиране стъпката на изграждане позволява режими на защита срещу препълване на стека, препълване на буфер и проблеми с форматирането на низове (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Системният администратор systemd се използва за управление на услуги и стартиране. За управление на пакети са предоставени мениджъри на пакети RPM и DNF.
Какво е новото в CBL-Mariner 2.0
Новата версия се откроява с голямо надграждане на версиите на софтуера, това включва актуализирани версии на linux kernel 5.15, systemd 250, glibc 2.35, gcc 11.2, clang 12, python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34, ostree.2022.1.
В допълнение към това се отбелязва, че базовото хранилище включва компоненти за създаване на графичен интерфейс, като Wayland 1.20, Mesa 21.0, GTK 3.24 и X.Org Server 1.20.10, които преди това бяха доставени в отделно хранилище на coreui.
Също така се отбелязва, че компилациите на ядрото с пачове PREEMPT_RT са добавени за използване в системи в реално време.
И накрая, за тези, които се интересуват, трябва да знаете, че компилациите на пакети се генерират за архитектурите aarch64 и x86_64.
Сървърът SSH не е активиран по подразбиране. За да инсталирате дистрибуцията, е осигурен инсталатор, който може да работи както в текстов, така и в графичен режим.
Инсталаторът предоставя възможност за инсталиране с пълен или основен набор от пакети, предоставя интерфейс за избор на дисков дял, избор на име на хост и създаване на потребители.