Microsoft zaprezentował niedawno wydany pierwsza stabilna aktualizacja nowa gałąź twojej dystrybucji Linuksa "CBL-Mariner 2.0" (Common Base Linux Mariner), który jest rozwijany jako uniwersalna platforma bazowa dla środowisk Linux wykorzystywanych w infrastrukturze chmury, systemach brzegowych i różnych usługach Microsoft.
Projekt ma na celu ujednolicenie rozwiązań linuksowych stosowanych w firmie Microsoft i uproszczenie konserwacji systemów linuksowych do różnych celów. Rozwój projektu jest rozpowszechniany na licencji MIT.
O CBL-Mariner
Dla tych, którzy nie wiedzą o CBL-Mariner, powinniście wiedzieć, że ta dystrybucja charakteryzuje się dostarczaniem mały standardowy zestaw podstawowych pakietów, które służą jako uniwersalna podstawa do budowania kontenerów, środowisk hostingowych i usług działających w infrastrukturze chmury i urządzeniach brzegowych.
Bardziej złożone i wyspecjalizowane rozwiązania można tworzyć, dodając dodatkowe pakiety do CBL-Mariner, ale podstawa dla wszystkich tych systemów pozostaje taka sama, co ułatwia utrzymanie i przygotowanie do aktualizacji. Na przykład, CBL-Mariner jest używany jako podstawa minidystrybucji WSLg, który dostarcza składniki stosu graficznego do uruchamiania aplikacji Linux GUI w środowiskach opartych na podsystemie WSL2 (Windows Subsystem for Linux). Rozszerzona funkcjonalność WSLg jest realizowana poprzez włączenie dodatkowych pakietów z Weston Composite Server, XWayland, PulseAudio i FreeRDP.
System kompilacji CBL-Mariner umożliwia generowanie samodzielnych pakietów RPM w oparciu o pliki źródłowe i SPEC, a także monolityczne obrazy systemu wygenerowane za pomocą zestawu narzędzi rpm-ostree i atomowo aktualizowane bez dzielenia na osobne pakiety. W związku z tym obsługiwane są dwa modele dostarczania aktualizacji: poprzez aktualizację poszczególnych pakietów oraz przez przebudowanie i aktualizację całego obrazu systemu. Dostępne jest repozytorium z już zbudowanymi około 3000 obr./min, które można wykorzystać do tworzenia własnych obrazów w oparciu o plik konfiguracyjny.
Dystrybucja zawiera tylko najbardziej potrzebne komponenty i jest zoptymalizowany pod kątem minimalnego zużycia pamięci i miejsca na dysku, a także przy dużych prędkościach pobierania. Dystrybucja wyróżnia się również dodaniem kilku dodatkowych mechanizmów bezpieczeństwa.
W projekcie zastosowano podejście „maksymalne bezpieczeństwo domyślnie”. Zapewnia możliwość filtrowania wywołań systemowych za pomocą mechanizmu seccomp, szyfrowania partycji dyskowych i weryfikacji pakietów za pomocą podpisów cyfrowych.
Aktywowane są tryby randomizacji przestrzeni adresowej obsługiwane w jądrze Linux, a także mechanizmy ochrony przed atakami związanymi z dowiązaniami symbolicznymi, mmap, /dev/mem i /dev/kmem. W przypadku obszarów pamięci zawierających segmenty z danymi jądra i modułu tryb jest ustawiony na tylko do odczytu, a wykonywanie kodu jest zabronione.
Opcjonalnie dostępna jest możliwość wyłączenia ładowania modułów jądra po inicjalizacji systemu. Zestaw narzędzi iptables służy do filtrowania pakietów sieciowych. Domyślnie krok kompilacji włącza tryby ochrony przed przepełnieniem stosu, przepełnieniem buforu i problemami z formatowaniem ciągu (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Administrator systemu systemd służy do zarządzania usługami i uruchamiania. Do zarządzania pakietami służą menedżery pakietów RPM i DNF.
Co nowego w CBL-Mariner 2.0
Nowa wersja wyróżnia się dużą aktualizacją wersji oprogramowania, obejmuje to zaktualizowane wersje jądra Linux 5.15, systemd 250, glibc 2.35, gcc 11.2, clang 12, python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34, ostree 2022.1.
Oprócz tego należy zauważyć, że repozytorium bazowe zawiera komponenty do stworzenia interfejsu graficznego, takich jak Wayland 1.20, Mesa 21.0, GTK 3.24 i X.Org Server 1.20.10, które wcześniej były dostarczane w osobnym repozytorium coreui.
Należy również zauważyć, że kompilacje jądra z łatami PREEMPT_RT zostały dodane do użytku w systemach czasu rzeczywistego.
Wreszcie dla zainteresowanych, powinieneś wiedzieć, że kompilacje pakietów są generowane dla architektur aarch64 i x86_64.
Serwer Protokół SSH nie jest domyślnie włączony. Aby zainstalować dystrybucję, dostarczany jest instalator, który może pracować zarówno w trybie tekstowym, jak i graficznym.
Instalator umożliwia instalację z pełnym lub podstawowym zestawem pakietów, udostępnia interfejs do wyboru partycji dyskowej, wyboru nazwy hosta i tworzenia użytkowników.