Microsoft het die vrystelling van die CBL-Mariner 1.0 (Common Base Linux Mariner) verspreiding gepubliseer, wat gemerk word as die eerste stabiele vrystelling van die projek. Die CBL-Mariner-verspreiding word ontwikkel as 'n universele basisplatform vir Linux-omgewings wat in wolkinfrastruktuur, randstelsels en verskeie Microsoft-dienste gebruik word. Die projek is daarop gemik om Microsoft Linux-oplossings te verenig en die onderhoud van Linux-stelsels vir verskeie doeleindes op datum te vereenvoudig. Die projek se ontwikkelings word onder die MIT-lisensie versprei.
Die verspreiding verskaf 'n klein standaardstel basiese pakkette wat dien as 'n universele basis vir die skep van die inhoud van houers, gasheeromgewings en dienste wat in wolkinfrastruktuur en op randtoestelle loop. Meer komplekse en gespesialiseerde oplossings kan geskep word deur bykomende pakkette bo-op CBL-Mariner by te voeg, maar die basis vir al sulke stelsels bly dieselfde, wat instandhouding en opdaterings makliker maak.
Byvoorbeeld, CBL-Mariner word gebruik as die basis vir die WSLg-miniverspreiding, wat grafiese stapelkomponente verskaf vir die uitvoer van Linux GUI-toepassings in omgewings gebaseer op die WSL2 (Windows Subsystem for Linux) substelsel. Die kern van hierdie verspreiding is onveranderd, en uitgebreide funksionaliteit word gerealiseer deur die insluiting van bykomende pakkette met die Weston, XWayland, PulseAudio en FreeRDP saamgestelde bediener.
Die CBL-Mariner-boustelsel laat jou toe om beide individuele RPM-pakkette op grond van SPEC-lêers en bronkode te genereer, sowel as monolitiese stelselbeelde wat gegenereer word met die rpm-otree-gereedskapstel en atomies opgedateer word sonder om in aparte pakkette te verdeel. Gevolglik word twee opdateringsleweringsmodelle ondersteun: deur individuele pakkette op te dateer en deur die hele stelselbeeld te herbou en op te dateer. Die verspreiding sluit slegs die nodigste komponente in en is geoptimaliseer vir minimale geheue- en skyfspasieverbruik, sowel as hoë laaispoed. Die verspreiding is ook opvallend vir die insluiting van verskeie bykomende meganismes om sekuriteit te verbeter.
Die projek volg 'n "maksimum sekuriteit by verstek" benadering. Dit is moontlik om stelseloproepe te filter deur die seccomp-meganisme te gebruik, skyfpartisies te enkripteer en pakkette met 'n digitale handtekening te verifieer. By die boustadium is beskerming teen stapeloorloop, bufferoorloop en stringformateringsprobleme by verstek geaktiveer (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Adresruimte-randomiseringsmodusse wat in die Linux-kern ondersteun word, word geaktiveer, sowel as beskermingsmeganismes teen simlink-aanvalle, mmap, /dev/mem en /dev/kmem. Die geheue-areas wat segmente met kern- en moduledata bevat, is op leesalleen-modus gestel en kode-uitvoering word verbied. 'n Opsionele opsie is om die laai van kernmodules na stelselinisialisasie te deaktiveer. Die iptables toolkit word gebruik om netwerkpakkies te filter.
Voorafgemaakte ISO-beelde word nie verskaf nie. Daar word aanvaar dat die gebruiker self 'n prent met die nodige vulling kan skep (monteerinstruksies word vir Ubuntu 18.04 verskaf). 'n Bewaarplek van voorafgeboude RPM-pakkette is beskikbaar, wat u kan gebruik om u eie beelde te bou gebaseer op die konfigurasielêer. Die bewaarplek bied ongeveer 3300 XNUMX pakkette. Byvoorbeeld, om 'n volledige iso-beeld te bou, hardloop net: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo maak iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /volle .json
Die stelselbestuurder systemd word gebruik om dienste te bestuur en selflaai. Vir pakketbestuur word pakketbestuurders RPM en DNF (tdnf-variant van vmWare) verskaf. Die SSH-bediener skakel nie stilweg aan nie. Om die verspreiding te installeer, word 'n installeerder voorsien wat in beide teks- en grafiese modusse kan werk. Die installeerder bied die opsie om te installeer met 'n volledige of basiese stel pakkette, en bied 'n koppelvlak om 'n skyfpartisie te kies, 'n gasheernaam te kies en gebruikers te skep.
Bron: opennet.ru