Кампанія Microsoft апублікавала выпуск дыстрыбутыва CBL-Mariner 1.0 (Common Base Linux Mariner), які пазначаны як першы стабільны рэліз праекту. Дыстрыбутыў CBL-Mariner развіваецца ў якасці ўніверсальнай базавай платформы для Linux-акружэнняў, якія выкарыстоўваюцца ў хмарнай інфраструктуры, edge-сістэмах і розных сэрвісах Microsoft. Праект накіраваны на ўніфікацыю ўжывальных у Microsoft Linux-рашэнняў і спрашчэнне падтрымання Linux-сістэм рознага прызначэння ў актуальным стане. Напрацоўкі праекту распаўсюджваюцца пад ліцэнзіяй MIT.
Дыстрыбутыў дае невялікі тыпавы набор асноўных пакетаў, якія выступаюць універсальнай асновай для стварэння начыння кантэйнераў, хост-акружэнняў і сэрвісаў, якія запускаюцца ў хмарных інфраструктурах і на edge-прыладах. Больш складаныя і спецыялізаваныя рашэнні могуць стварацца шляхам дадання дадатковых пакетаў па-над CBL-Mariner, але аснова для ўсіх падобных сістэм застаецца нязменнай, што спрашчае суправаджэнне і падрыхтоўку абнаўленняў.
Напрыклад, CBL-Mariner ужываецца ў якасці асновы міні-дыстрыбутыва WSLg, у якім падаюцца кампаненты графічнага стэка для арганізацыі запуску GUI-прыкладанняў Linux у асяроддзі на базе падсістэмы WSL2 (Windows Subsystem for Linux). Аснова дадзенага дыстрыбутыва нязменная, а пашыраная функцыянальнасць рэалізуецца праз уключэнне дадатковых пакетаў з кампазітным серверам Weston, XWayland, PulseAudio і FreeRDP.
Сістэма зборкі CBL-Mariner дазваляе генераваць як асобныя RPM-пакеты на аснове SPEC-файлаў і зыходных тэкстаў, так і маналітныя сістэмныя выявы, якія фармуюцца пры дапамозе інструментара rpm-ostree і абнаўляюцца атамарна без разбіўкі на асобныя пакеты. Адпаведна, падтрымліваецца дзве мадэлі дастаўкі абнаўленняў: праз абнаўленне асобных пакетаў і праз перастраенне і абнаўленне ўсёй сістэмнай выявы. Дыстрыбутыў уключае толькі самыя неабходныя кампаненты і аптымізаваны для мінімальнага спажывання памяці і дыскавай прасторы, а таксама для высокай хуткасці загрузкі. Дыстрыбутыў таксама адметны уключэннем розных дадатковых механізмаў для павышэння абароны.
У праекце прымяняецца падыход "максімальная бяспека па змаўчанні". Прадастаўляецца магчымасць фільтрацыі сістэмных выклікаў пры дапамозе механізму seccomp, шыфравання дыскавых раздзелаў, верыфікацыі пакетаў па лічбавым подпісе. На этапе зборкі па змаўчанні ўключаны рэжымы абароны ад перапаўнення стэка, перапаўненняў буфера і праблем з фарматаваннем радкоў (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Актываваны падтрымоўваныя ў ядры Linux рэжымы рандомизации адраснай прасторы, а таксама механізмы абароны ад нападаў, злучаных з сімвалічнымі спасылкамі, mmap, /dev/mem і /dev/kmem. Для абласцей памяці, у якіх размяшчаюцца сегменты з дадзенымі ядра і модуляў, усталяваны рэжым толькі для чытання і забаронена выкананне кода. Апцыянальна даступная магчымасць забароны загрузкі модуляў ядра пасля ініцыялізацыі сістэмы. Для фільтравання сеткавых пакетаў задзейнічаны інструментар iptables.
Гатовыя ISO-вобразы не прадастаўляюцца. Мяркуецца, што карыстач можа сам стварыць выяву з неабходнай начыннем (зборачныя інструкцыі прадстаўлены для Ubuntu 18.04/3300). Даступны рэпазітар з ужо сабранымі RPM-пакетамі, які можна выкарыстоўваць для кампаноўкі ўласных выяў на аснове файла канфігурацыі. У рэпазітары прапанавана каля XNUMX пакетаў. Напрыклад, для зборкі поўнага iso-выявы досыць выканаць: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso .json
Для кіравання сэрвісамі і загрузкай прымяняецца сістэмны менеджэр systemd. Для кіравання пакетамі пастаўляюцца пакетныя мэнэджары RPM і DNF (варыянт tdnf ад vmWare). SSH-сервер па маўчанні не ўключаецца. Для ўсталёўкі дыстрыбутыва падаецца ўсталёўнік, які можа працаваць як у тэкставым, так і ў графічным рэжымах. Ва ўсталёўніку падаецца магчымасць усталёўкі з поўным або базавым наборам пакетаў, прапануецца інтэрфейс для выбару дыскавай часткі, выбару імя хаста і стварэнні карыстачоў.
Крыніца: opennet.ru