Microsoft představen nedávno vydáno první stabilní aktualizace novou větev vaší linuxové distribuce „CBL-Mariner 2.0“ (Common Base Linux Mariner), který je vyvíjen jako univerzální základní platforma pro prostředí Linuxu používaná v cloudové infrastruktuře, okrajových systémech a různých službách společnosti Microsoft.
Projekt si klade za cíl sjednotit linuxová řešení používaná v Microsoftu a zjednodušit dosavadní údržbu linuxových systémů pro různé účely. Vývoj projektu je distribuován pod licencí MIT.
O CBL-Mariner
Pro ty, kteří neznají CBL-Mariner, měli byste vědět, že tato distribuce se vyznačuje poskytováním malá standardní sada základních balíčků, které slouží jako univerzální základ pro vytváření kontejnerů, hostitelských prostředí a služeb běžících na cloudových infrastrukturách a okrajových zařízeních.
Složitější a specializovanější řešení lze vytvořit přidáním dalších balíčků do CBL-Mariner, ale základ pro všechny tyto systémy zůstává stejný, což usnadňuje údržbu a přípravu na upgrady. Například, CBL-Mariner se používá jako základ minidistribuce WSLg, která poskytuje komponenty grafického zásobníku pro spouštění aplikací GUI pro Linux v prostředích založených na subsystému WSL2 (Windows Subsystem for Linux). Rozšířená funkčnost ve WSLg se provádí zahrnutím dalších balíčků s Weston Composite Server, XWayland, PulseAudio a FreeRDP.
CBL-Mariner build systém umožňuje generovat samostatné balíčky RPM založené na zdrojových souborech a souborech SPEC a také na monolitických systémových obrazech generovaných pomocí sady nástrojů rpm-ostree a atomicky aktualizované bez rozdělení do samostatných balíčků. V důsledku toho jsou podporovány dva modely poskytování aktualizací: aktualizací jednotlivých balíčků a přestavbou a aktualizací celého obrazu systému. K dispozici je úložiště s již vytvořenými přibližně 3000 otáčkami za minutu, které můžete použít k vytvoření vlastních obrázků na základě konfiguračního souboru.
Distribuce obsahuje pouze nejnutnější komponenty a je optimalizován pro minimální spotřebu paměti a místa na disku, stejně jako pro vysoké rychlosti stahování. Distribuce také vyniká tím, že obsahuje několik dalších bezpečnostních mechanismů.
Projekt používá přístup „maximální zabezpečení ve výchozím nastavení“. Poskytuje možnost filtrovat systémová volání pomocí mechanismu seccomp, šifrovat diskové oddíly a ověřovat pakety pomocí digitálních podpisů.
Jsou aktivovány režimy randomizace adresního prostoru podporované v jádře Linuxu a také ochranné mechanismy proti útokům souvisejícím se symbolickými odkazy, mmap, /dev/mem a /dev/kmem. Pro oblasti paměti, které obsahují segmenty s daty jádra a modulu, je režim nastaven pouze pro čtení a provádění kódu je zakázáno.
Volitelně je k dispozici možnost zakázat načítání modulů jádra po inicializaci systému. K filtrování síťových paketů se používá sada nástrojů iptables. Ve výchozím nastavení krok sestavení povoluje režimy ochrany proti přetečení zásobníku, přetečení vyrovnávací paměti a problémům s formátováním řetězců (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Správce systému systemd se používá ke správě služeb a spouštění. Pro správu balíčků jsou k dispozici správci balíčků RPM a DNF.
Co je nového v CBL-Mariner 2.0
Nová verze vyniká velkým upgradem verzí softwaru, to zahrnuje aktualizované verze linuxového jádra 5.15, systemd 250, glibc 2.35, gcc 11.2, clang 12, python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34, ostree.2022.1.
Kromě toho se poznamenává, že základní úložiště obsahuje komponenty pro vytvoření grafického rozhraní, jako jsou Wayland 1.20, Mesa 21.0, GTK 3.24 a X.Org Server 1.20.10, které byly dříve dodávány v samostatném úložišti coreui.
Je také třeba poznamenat, že byly přidány sestavení jádra s opravami PREEMPT_RT pro použití na systémech v reálném čase.
Nakonec pro ty, kteří mají zájem, měli byste vědět, že sestavení balíčků se generují pro architektury aarch64 a x86_64.
Server SSH není ve výchozím nastavení povoleno. Pro instalaci distribuce je k dispozici instalační program, který může pracovat v textovém i grafickém režimu.
Instalační program poskytuje možnost instalace s úplnou nebo základní sadou balíčků, poskytuje rozhraní pro výběr diskového oddílu, výběr názvu hostitele a vytváření uživatelů.