Microsoft zveřejnil vydání distribuce CBL-Mariner 1.0 (Common Base Linux Mariner), která je označena jako první stabilní vydání projektu. Distribuce CBL-Mariner je vyvíjena jako univerzální základní platforma pro linuxová prostředí používaná v cloudové infrastruktuře, okrajových systémech a různých službách Microsoftu. Projekt je zaměřen na sjednocení řešení Microsoft Linux a zjednodušení údržby linuxových systémů pro různé účely. Vývoj projektu je distribuován pod licencí MIT.
Distribuce poskytuje malou standardní sadu základních balíčků, které slouží jako univerzální základ pro vytváření obsahu kontejnerů, hostitelských prostředí a služeb běžících v cloudových infrastrukturách a na okrajových zařízeních. Složitější a specializovanější řešení lze vytvořit přidáním dalších balíčků nad CBL-Mariner, ale základ všech takových systémů zůstává stejný, což usnadňuje údržbu a aktualizace.
Například CBL-Mariner se používá jako základ pro minidistribuci WSLg, která poskytuje komponenty grafického zásobníku pro spouštění aplikací GUI pro Linux v prostředích založených na subsystému WSL2 (Windows Subsystem for Linux). Jádro této distribuce je nezměněno a rozšířená funkčnost je realizována prostřednictvím zahrnutí dalších balíčků s Weston, XWayland, PulseAudio a kompozitním serverem FreeRDP.
Sestavovací systém CBL-Mariner vám umožňuje generovat jak jednotlivé balíčky RPM založené na souborech SPEC a zdrojovém kódu, tak i monolitické systémové obrazy generované pomocí sady nástrojů rpm-ostree a aktualizované atomicky bez rozdělení do samostatných balíčků. V souladu s tím jsou podporovány dva modely poskytování aktualizací: prostřednictvím aktualizace jednotlivých balíčků a prostřednictvím přestavby a aktualizace celého obrazu systému. Distribuce obsahuje pouze nejnutnější komponenty a je optimalizována pro minimální spotřebu paměti a místa na disku a také vysokou rychlost načítání. Distribuce je také pozoruhodná zahrnutím různých dalších mechanismů pro zvýšení bezpečnosti.
Projekt využívá přístup „maximální zabezpečení ve výchozím nastavení“. Je možné filtrovat systémová volání pomocí mechanismu seccomp, šifrovat diskové oddíly a ověřovat balíčky pomocí digitálního podpisu. Ve fázi sestavení je ve výchozím nastavení povolena ochrana proti přetečení zásobníku, přetečení vyrovnávací paměti a problémům s formátováním řetězců (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Jsou aktivovány režimy randomizace adresního prostoru podporované v linuxovém jádře a také ochranné mechanismy proti útokům pomocí symbolických odkazů, mmap, /dev/mem a /dev/kmem. Oblasti paměti, které obsahují segmenty s daty jádra a modulu, jsou nastaveny do režimu pouze pro čtení a provádění kódu je zakázáno. Volitelnou možností je zakázat načítání modulů jádra po inicializaci systému. K filtrování síťových paketů se používá sada nástrojů iptables.
Předem vytvořené obrazy ISO nejsou poskytovány. Předpokládá se, že si uživatel může vytvořit obrázek s potřebnou náplní sám (návod na sestavení je uveden pro Ubuntu 18.04). K dispozici je úložiště předem sestavených RPM balíčků, které můžete použít k vytvoření vlastních obrazů na základě konfiguračního souboru. Úložiště nabízí zhruba 3300 balíčků. Chcete-li například vytvořit úplný obraz iso, stačí spustit: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /plný .json
System manager systemd se používá ke správě služeb a bootování. Pro správu balíčků jsou k dispozici správci balíčků RPM a DNF (varianta tdnf od vmWare). Server SSH se nezapne tiše. Pro instalaci distribuce je k dispozici instalační program, který může pracovat v textovém i grafickém režimu. Instalační program poskytuje možnost instalace s úplnou nebo základní sadou balíčků a nabízí rozhraní pro výběr diskového oddílu, výběr názvu hostitele a vytváření uživatelů.
Zdroj: opennet.ru