Представлен Microsoft недавно выпустил первое стабильное обновление новая ветка вашего дистрибутива Linux "CBL-Mariner 2.0" (Common Base Linux Mariner), которая разрабатывается как универсальная базовая платформа для сред Linux, используемых в облачной инфраструктуре, пограничных системах и различных сервисах Microsoft.
Проект направлен на унификацию решений Linux, используемых в Microsoft, и упрощение обслуживания систем Linux для различных целей на сегодняшний день. Разработки проекта распространяются по лицензии MIT.
О CBL-Маринер
Для тех, кто не знает о CBL-Mariner, следует знать, что этот дистрибутив характеризуется предоставлением небольшой стандартный набор базовых пакетов, служащих универсальная основа для создания контейнеров, хостинговых сред и сервисов, работающих в облачных инфраструктурах и пограничных устройствах..
Более сложные и специализированные решения могут быть созданы путем добавления дополнительных пакетов в CBL-Mariner, но основа для всех этих систем остается неизменной, что упрощает их обслуживание и подготовку к обновлениям. Например, CBL-Mariner используется как основа мини-дистрибутива WSLg., который предоставляет компоненты графического стека для запуска графических приложений Linux в средах на основе подсистемы WSL2 (подсистема Windows для Linux). Расширенная функциональность в WSLg достигается за счет включения дополнительных пакетов с Weston Composite Server, XWayland, PulseAudio и FreeRDP.
Система сборки CBL-Mariner позволяет создавать автономные пакеты RPM. на основе исходных и SPEC-файлов, а также монолитных образов системы, сгенерированных с помощью инструментария rpm-ostree и атомарно обновленных без разделения на отдельные пакеты. Следовательно, поддерживаются две модели доставки обновлений: путем обновления отдельных пакетов и путем перестроения и обновления всего образа системы. Доступен репозиторий с уже созданными около 3000 RPM, которые вы можете использовать для создания собственных образов на основе файла конфигурации.
Распространение включает только самые необходимые компоненты и оптимизирован для минимального потребления памяти и дискового пространства, а также за высокие скорости загрузки. Дистрибутив также отличается наличием нескольких дополнительных механизмов безопасности.
В проекте используется подход «максимальная безопасность по умолчанию». Предоставляет возможность фильтровать системные вызовы с помощью механизма seccomp, шифровать разделы диска и проверять пакеты с помощью цифровых подписей.
Активируются режимы рандомизации адресного пространства, поддерживаемые ядром Linux, а также механизмы защиты от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem. Для областей памяти, содержащих сегменты с данными ядра и модулей, установлен режим только для чтения и выполнение кода запрещено.
Опционально доступна возможность отключить загрузку модулей ядра после инициализации системы. Инструментарий iptables используется для фильтрации сетевых пакетов. По умолчанию на этапе сборки включаются режимы защиты от переполнения стека, переполнения буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Системный администратор systemd используется для управления службами и запуском. Для управления пакетами предусмотрены менеджеры пакетов RPM и DNF.
Что нового в CBL-Mariner 2.0
Новая версия выделяется крупным обновлением версий ПО, сюда входят обновленные версии ядра Linux 5.15, systemd 250, glibc 2.35, gcc 11.2, clang 12, python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34, ostree 2022.1.
В дополнение к этому отмечается, что базовый репозиторий включает компоненты для создания графического интерфейса, такие как Wayland 1.20, Mesa 21.0, GTK 3.24 и X.Org Server 1.20.10, которые ранее поставлялись в отдельном репозитории coreui.
Также отмечается, что сборки ядра с патчами PREEMPT_RT были добавлены для использования в системах реального времени.
Наконец, для тех, кто заинтересован, вы должны знать, что сборки пакетов генерируются для архитектур аарх64 и х86_64.
Сервер SSH не включен по умолчанию. Для установки дистрибутива предусмотрен инсталлятор, который может работать как в текстовом, так и в графическом режимах.
Инсталлятор предоставляет возможность установки с полным или базовым набором пакетов, предоставляет интерфейс для выбора раздела диска, выбора имени хоста и создания пользователей.