Microsoft hat die Veröffentlichung der Distribution CBL-Mariner 1.0 (Common Base Linux Mariner) veröffentlicht, die als erste stabile Version des Projekts gilt. Die CBL-Mariner-Distribution wird als universelle Basisplattform für Linux-Umgebungen entwickelt, die in Cloud-Infrastrukturen, Edge-Systemen und verschiedenen Microsoft-Diensten eingesetzt werden. Ziel des Projekts ist es, Microsoft-Linux-Lösungen zu vereinheitlichen und die Wartung von Linux-Systemen für verschiedene Einsatzzwecke zeitgemäß zu vereinfachen. Die Entwicklungen des Projekts werden unter der MIT-Lizenz vertrieben.
Die Distribution stellt einen kleinen Standardsatz an Basispaketen bereit, die als universelle Grundlage für die Erstellung der Inhalte von Containern, Hostumgebungen und Diensten dienen, die in Cloud-Infrastrukturen und auf Edge-Geräten laufen. Komplexere und spezialisiertere Lösungen können durch das Hinzufügen zusätzlicher Pakete zu CBL-Mariner erstellt werden. Die Basis für alle derartigen Systeme bleibt jedoch dieselbe, was Wartung und Aktualisierungen erleichtert.
CBL-Mariner dient beispielsweise als Basis für die WSLg-Minidistribution, die Grafik-Stack-Komponenten für die Ausführung von Linux-GUI-Anwendungen in Umgebungen bereitstellt, die auf dem WSL2-Subsystem (Windows Subsystem for Linux) basieren. Der Kern dieser Distribution bleibt unverändert und die erweiterte Funktionalität wird durch die Aufnahme zusätzlicher Pakete in die Verbundserver Weston, XWayland, PulseAudio und FreeRDP realisiert.
Mit dem CBL-Mariner-Build-System können Sie sowohl einzelne RPM-Pakete basierend auf SPEC-Dateien und Quellcode generieren als auch monolithische System-Images, die mit dem rpm-ostree-Toolkit generiert und atomar aktualisiert werden, ohne in separate Pakete aufzuteilen. Dementsprechend werden zwei Update-Bereitstellungsmodelle unterstützt: durch die Aktualisierung einzelner Pakete und durch Neuerstellung und Aktualisierung des gesamten Systemabbilds. Die Distribution enthält nur die notwendigsten Komponenten und ist auf minimalen Speicher- und Speicherplatzverbrauch sowie hohe Ladegeschwindigkeit optimiert. Die Distribution zeichnet sich außerdem dadurch aus, dass sie verschiedene zusätzliche Mechanismen zur Erhöhung der Sicherheit enthält.
Das Projekt verfolgt den Ansatz „maximale Sicherheit standardmäßig“. Es ist möglich, Systemaufrufe mithilfe des Seccomp-Mechanismus zu filtern, Festplattenpartitionen zu verschlüsseln und Pakete mithilfe einer digitalen Signatur zu überprüfen. In der Build-Phase ist der Schutz vor Stapelüberläufen, Pufferüberläufen und Problemen bei der Zeichenfolgenformatierung standardmäßig aktiviert (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Die im Linux-Kernel unterstützten Adressraum-Randomisierungsmodi sowie Schutzmechanismen gegen Symlink-Angriffe, mmap, /dev/mem und /dev/kmem sind aktiviert. Die Speicherbereiche, die Segmente mit Kernel- und Moduldaten enthalten, werden auf den Nur-Lese-Modus gesetzt und die Codeausführung ist verboten. Eine optionale Option besteht darin, das Laden von Kernelmodulen nach der Systeminitialisierung zu deaktivieren. Das iptables-Toolkit wird zum Filtern von Netzwerkpaketen verwendet.
Vorgefertigte ISO-Images werden nicht bereitgestellt. Es wird davon ausgegangen, dass der Nutzer selbst ein Image mit der nötigen Füllung erstellen kann (Montageanleitung liegt für Ubuntu 18.04 bei). Es steht ein Repository mit vorgefertigten RPM-Paketen zur Verfügung, mit denen Sie Ihre eigenen Images basierend auf der Konfigurationsdatei erstellen können. Das Repository bietet etwa 3300 Pakete. Um beispielsweise ein vollständiges ISO-Image zu erstellen, führen Sie einfach Folgendes aus: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
Der Systemmanager systemd dient der Verwaltung von Diensten und dem Booten. Zur Paketverwaltung stehen die Paketmanager RPM und DNF (tdnf-Variante von vmWare) zur Verfügung. Der SSH-Server schaltet sich nicht automatisch ein. Zur Installation der Distribution wird ein Installationsprogramm bereitgestellt, das sowohl im Text- als auch im Grafikmodus arbeiten kann. Das Installationsprogramm bietet die Möglichkeit, mit einem vollständigen oder Basissatz an Paketen zu installieren, und bietet eine Schnittstelle zum Auswählen einer Festplattenpartition, zum Auswählen eines Hostnamens und zum Erstellen von Benutzern.
Source: opennet.ru