Microsoft melancarkan baru-baru ini melepaskan kemas kini stabil pertama cawangan baharu pengedaran Linux anda "CBL-Mariner 2.0" (Common Base Linux Mariner), yang sedang dibangunkan sebagai platform asas universal untuk persekitaran Linux yang digunakan dalam infrastruktur awan, sistem tepi dan pelbagai perkhidmatan Microsoft.
Projek ini bertujuan untuk menyatukan penyelesaian Linux yang digunakan di Microsoft dan memudahkan penyelenggaraan sistem Linux untuk pelbagai tujuan setakat ini. Perkembangan projek itu diedarkan di bawah lesen MIT.
Mengenai CBL-Mariner
Bagi mereka yang tidak mengetahui tentang CBL-Mariner, anda harus tahu bahawa pengedaran ini dicirikan dengan menyediakan set standard kecil pakej asas yang berfungsi sebagai asas universal untuk membina bekas, persekitaran pengehosan dan perkhidmatan yang dijalankan pada infrastruktur awan dan peranti tepi.
Penyelesaian yang lebih kompleks dan khusus boleh dibuat dengan menambahkan pakej tambahan pada CBL-Mariner, tetapi asas untuk semua sistem ini kekal sama, menjadikannya lebih mudah untuk menyelenggara dan bersedia untuk naik taraf. Sebagai contoh, CBL-Mariner digunakan sebagai asas pengedaran mini WSLg, yang menyediakan komponen tindanan grafik untuk melancarkan aplikasi GUI Linux dalam persekitaran berdasarkan subsistem WSL2 (Windows Subsystem for Linux). Kefungsian lanjutan dalam WSLg dilakukan dengan memasukkan pakej tambahan dengan Weston Composite Server, XWayland, PulseAudio dan FreeRDP.
Sistem binaan CBL-Mariner membolehkan anda menjana pakej RPM yang berdiri sendiri berdasarkan fail sumber dan SPEC, serta imej sistem monolitik yang dijana dengan kit alat rpm-ostree dan dikemas kini secara atom tanpa berpecah kepada pakej yang berasingan. Akibatnya, dua model penghantaran kemas kini disokong: dengan mengemas kini pakej individu dan dengan membina semula dan mengemas kini keseluruhan imej sistem. Repositori tersedia dengan sekitar 3000 RPM telah dibina yang boleh anda gunakan untuk membina imej anda sendiri berdasarkan fail konfigurasi.
Pembahagian hanya termasuk komponen yang paling diperlukan dan dioptimumkan untuk penggunaan memori dan ruang cakera yang minimum, serta untuk kelajuan muat turun yang tinggi. Pengedaran itu juga menonjol kerana memasukkan beberapa mekanisme keselamatan tambahan.
Projek ini menggunakan pendekatan "keselamatan maksimum secara lalai". Menyediakan keupayaan untuk menapis panggilan sistem menggunakan mekanisme seccomp, menyulitkan partition cakera, dan mengesahkan paket menggunakan tandatangan digital.
Mod rawak ruang alamat yang disokong dalam kernel Linux diaktifkan, serta mekanisme perlindungan terhadap serangan yang berkaitan dengan pautan simbolik, mmap, /dev/mem dan /dev/kmem. Untuk kawasan memori yang mengandungi segmen dengan kernel dan data modul, mod ditetapkan kepada baca sahaja dan pelaksanaan kod adalah dilarang.
Pilihan yang tersedia ialah keupayaan untuk melumpuhkan pemuatan modul kernel selepas permulaan sistem. Kit alat iptables digunakan untuk menapis paket rangkaian. Secara lalai, langkah binaan mendayakan mod perlindungan terhadap limpahan tindanan, limpahan penimbal dan isu pemformatan rentetan (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Pentadbir sistem systemd digunakan untuk mengurus perkhidmatan dan permulaan. Pengurus pakej RPM dan DNF disediakan untuk pengurusan pakej.
Apa yang baharu dalam CBL-Mariner 2.0
Versi baru menonjol untuk peningkatan besar versi perisian, ini termasuk versi terkini kernel linux 5.15, systemd 250, glibc 2.35, gcc 11.2, clang 12, python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34, ostree 2022.1.
Di samping itu, diperhatikan bahawa repositori asas termasuk komponen untuk mencipta antara muka grafik, seperti Wayland 1.20, Mesa 21.0, GTK 3.24 dan X.Org Server 1.20.10, yang sebelum ini dihantar dalam repositori coreui yang berasingan.
Ia juga diperhatikan bahawa binaan kernel dengan patch PREEMPT_RT telah ditambah untuk digunakan pada sistem masa nyata.
Akhir sekali bagi mereka yang berminat, anda harus tahu bahawa binaan pakej dijana untuk seni bina aarch64 dan x86_64.
Pelayan SSH tidak didayakan secara lalai. Untuk memasang pengedaran, pemasang disediakan yang boleh berfungsi dalam kedua-dua mod teks dan grafik.
Pemasang menyediakan keupayaan untuk memasang dengan set penuh atau asas pakej, menyediakan antara muka untuk memilih partition cakera, memilih nama hos dan mencipta pengguna.