Microsoft va donar a conèixer recentment l'alliberament de la primera actualització estable de la nova branca de la seva distribució de Linux CBL-Mariner 2.0 (Common Base Linux Mariner), que s'està desenvolupant com una plataforma base universal per a entorns Linux utilitzats en infraestructura al núvol, sistemes de vora i diversos serveis de Microsoft.
El projecte té com a objectiu unificar les solucions Linux utilitzades a Microsoft i simplificar el manteniment dels sistemes Linux per a diverses finalitats fins ara. Els desenvolupaments del projecte es distribueixen sota la llicència MIT.
Sobre CBL-Mariner
Per als que desconeixen de CBL-Mariner, han de saber que aquesta distribució es caracteritza per proporcionar un petit conjunt estàndard de paquets bàsics que serveixen com base universal per crear contenidors, entorns de host i serveis que s'executen en infraestructures de núvol i dispositius a la vora.
Es poden crear solucions més complexes i especialitzades afegint paquets addicionals al CBL-Mariner, però la base per a tots aquests sistemes continua sent la mateixa, cosa que facilita el manteniment i la preparació d'actualitzacions. Per exemple, CBL-Mariner s'utilitza com a base de la mini distribució WSLg, que proporciona components de la pila de gràfics per iniciar aplicacions GUI de Linux en entorns basats en el subsistema WSL2 (Subsistema de Windows per a Linux). La funcionalitat estesa a WSLg es realitza mitjançant la inclusió de paquets addicionals amb Weston Composite Server, XWayland, PulseAudio i FreeRDP.
El sistema de compilació CBL-Mariner permet generar paquets RPM independents basats en fonts i arxius SPEC, així com imatges monolítiques del sistema generades amb el kit d'eines rpm-ostree i actualitzades atòmicament sense dividir-se en paquets separats. En conseqüència, s'admeten dos models de lliurament d'actualitzacions: mitjançant l'actualització de paquets individuals i mitjançant la reconstrucció i l'actualització de la imatge completa del sistema. Un repositori està disponible amb al voltant de 3000 RPM ja construïts que podeu utilitzar per construir les seves pròpies imatges basades en el fitxer de configuració.
la distribució inclou només els components més necessaris i està optimitzada per a un consum mínim de memòria i espai al disc, així com per a altes velocitats de descàrrega. La distribució també destaca per incloure diversos mecanismes de seguretat addicionals.
El projecte utilitza un enfocament de “màxima seguretat per defecte”. Brinda la capacitat de filtrar trucades al sistema mitjançant el mecanisme seccomp, xifrar particions de disc i verificar paquets mitjançant signatura digital.
S'activen els modes d'aleatorització de l'espai d'adreces suportats al nucli de Linux, així com els mecanismes de protecció contra atacs relacionats amb enllaços simbòlics, mmap, /dev/mem i /dev/kmem. Per a les àrees de memòria que contenen segments amb dades del nucli i del mòdul, el mode s'estableix només en lectura i l'execució del codi està prohibida.
Opcionalment està disponible la capacitat de deshabilitar la càrrega de mòduls del nucli després de la inicialització del sistema. El kit d'eines d'iptables es fa servir per filtrar paquets de xarxa. Per defecte, el pas de compilació habilita els modes de protecció contra desbordaments de pila, desbordaments de memòria intermèdia i problemes de format de cadenes (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
L'administrador de sistema systemd s'utilitza per administrar els serveis i l'arrencada. Els administradors de paquets RPM i DNF es proporcionen per administrar paquets.
Novetats de CBL-Mariner 2.0
La nova versió es destaca per una important actualització de les versions de programari, això inclou versions actualitzades del nucli de Linux 5.15, systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34.
A més, es destaca que el repositori base inclou components per crear una interfície gràfica, com Wayland 1.20, Taula 21.0, GTK 3.24 i X.Org Server 1.20.10, que es van enviar anteriorment en un repositori coreu separat.
També es destaca que es van afegir compilacions de kernel amb pegats PREEMPT_RT per a usar en sistemes en temps real.
Finalment per als interessats, han de saber que les compilacions de paquets es generen per a les arquitectures aarch64 i x86_64.
el servidor SSH no està habilitat per defecte. Per instal·lar la distribució, es proporciona un instal·lador que pot funcionar tant en mode de text com gràfic.
L'instal·lador brinda la capacitat d'instal·lar amb un conjunt complet o bàsic de paquets, ofereix una interfície per seleccionar una partició de disc, triar un nom de sistema principal i crear usuaris.