Microsoft представила нещодавно випустивши перше стабільне оновлення нова гілка вашого дистрибутива Linux "CBL-Mariner 2.0" (Common Base Linux Mariner), який розробляється як універсальна базова платформа для середовищ Linux, що використовуються в хмарній інфраструктурі, периферійних системах і різних сервісах Microsoft.
Проект спрямований на уніфікацію рішень Linux, які використовуються в Microsoft, і спрощення обслуговування систем Linux для різних цілей на сьогоднішній день. Розробки проекту поширюються за ліцензією MIT.
Про CBL-Mariner
Для тих, хто не знає про CBL-Mariner, слід знати, що цей дистрибутив характеризується наданням невеликий стандартний набір базових пакетів, які служать як універсальна основа для створення контейнерів, хостингових середовищ і сервісів, що працюють на хмарних інфраструктурах і периферійних пристроях.
Більш складні та спеціалізовані рішення можна створити, додавши додаткові пакети до CBL-Mariner, але основа для всіх цих систем залишається незмінною, що полегшує обслуговування та підготовку до оновлення. Наприклад, CBL-Mariner використовується як основа міні-дистрибутиву WSLg, який надає компоненти графічного стека для запуску програм з графічним інтерфейсом Linux у середовищах на основі підсистеми WSL2 (Windows Subsystem for Linux). Розширена функціональність у WSLg здійснюється шляхом включення додаткових пакетів із Weston Composite Server, XWayland, PulseAudio та FreeRDP.
Система збірки CBL-Mariner дозволяє створювати окремі пакети RPM на основі вихідних файлів і файлів SPEC, а також монолітних системних образів, створених за допомогою набору інструментів rpm-ostree і атомарно оновлених без розбиття на окремі пакети. Отже, підтримуються дві моделі доставки оновлень: шляхом оновлення окремих пакетів і шляхом перебудови й оновлення всього образу системи. Доступний репозиторій з уже створеними приблизно 3000 RPM, які ви можете використовувати для створення власних зображень на основі файлу конфігурації.
Розподіл містить лише найнеобхідніші компоненти та оптимізовано для мінімального споживання пам’яті та дискового простору, а також для високої швидкості завантаження. Дистрибутив також виділяється тим, що містить кілька додаткових механізмів безпеки.
У проекті використовується підхід «максимальна безпека за замовчуванням». Надає можливість фільтрувати системні виклики за допомогою механізму seccomp, шифрувати розділи диска та перевіряти пакети за допомогою цифрових підписів.
Активовано режими рандомізації адресного простору, які підтримуються в ядрі Linux, а також механізми захисту від атак, пов’язаних із символічними посиланнями, mmap, /dev/mem та /dev/kmem. Для областей пам’яті, які містять сегменти з даними ядра та модуля, режим встановлюється лише для читання, а виконання коду заборонено.
Додатково доступна можливість вимкнути завантаження модулів ядра після ініціалізації системи. Набір інструментів iptables використовується для фільтрації мережевих пакетів. За замовчуванням на етапі збірки вмикаються режими захисту від переповнення стека, переповнення буфера та проблем з форматуванням рядків (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Системний адміністратор systemd використовується для керування службами та запуском. Для керування пакетами надаються менеджери пакетів RPM та DNF.
Що нового в CBL-Mariner 2.0
Нова версія виділяється значним оновленням версій програмного забезпечення, це включає оновлені версії ядра linux 5.15, systemd 250, glibc 2.35, gcc 11.2, clang 12, python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34, ostree.2022.1.
Крім цього, зазначається, що базовий репозиторій містить компоненти для створення графічного інтерфейсу, наприклад Wayland 1.20, Mesa 21.0, GTK 3.24 і X.Org Server 1.20.10, які раніше поставлялися в окремому репозиторії coreui.
Також зазначається, що збірки ядра з патчами PREEMPT_RT були додані для використання в системах реального часу.
Нарешті, для тих, хто цікавиться, ви повинні знати, що збірки пакетів генеруються для архітектур aarch64 і x86_64.
Сервер SSH не ввімкнено за замовчуванням. Для встановлення дистрибутива надається інсталятор, який може працювати як в текстовому, так і в графічному режимах.
Програма встановлення надає можливість встановлення з повним або основним набором пакетів, надає інтерфейс для вибору розділу диска, вибору імені хоста та створення користувачів.