Η Microsoft δημοσίευσε την κυκλοφορία της διανομής CBL-Mariner 1.0 (Common Base Linux Mariner), η οποία χαρακτηρίζεται ως η πρώτη σταθερή έκδοση του έργου. Η διανομή CBL-Mariner αναπτύσσεται ως μια καθολική βασική πλατφόρμα για περιβάλλοντα Linux που χρησιμοποιούνται σε υποδομές cloud, συστήματα αιχμής και διάφορες υπηρεσίες της Microsoft. Το έργο στοχεύει στην ενοποίηση των λύσεων Microsoft Linux και στην απλούστευση της συντήρησης των συστημάτων Linux για διάφορους σκοπούς μέχρι σήμερα. Οι εξελίξεις του έργου διανέμονται με άδεια MIT.
Η διανομή παρέχει ένα μικρό τυπικό σύνολο βασικών πακέτων που χρησιμεύουν ως καθολική βάση για τη δημιουργία των περιεχομένων των κοντέινερ, των περιβαλλόντων κεντρικού υπολογιστή και των υπηρεσιών που εκτελούνται σε υποδομές cloud και σε συσκευές αιχμής. Πιο πολύπλοκες και εξειδικευμένες λύσεις μπορούν να δημιουργηθούν προσθέτοντας επιπλέον πακέτα πάνω από το CBL-Mariner, αλλά η βάση για όλα αυτά τα συστήματα παραμένει η ίδια, κάνοντας τη συντήρηση και τις ενημερώσεις ευκολότερες.
Για παράδειγμα, το CBL-Mariner χρησιμοποιείται ως βάση για τη μίνι διανομή WSLg, η οποία παρέχει στοιχεία στοίβας γραφικών για την εκτέλεση εφαρμογών Linux GUI σε περιβάλλοντα που βασίζονται στο υποσύστημα WSL2 (Windows Subsystem for Linux). Ο πυρήνας αυτής της διανομής παραμένει αμετάβλητος και η διευρυμένη λειτουργικότητα πραγματοποιείται μέσω της συμπερίληψης πρόσθετων πακέτων με τον σύνθετο διακομιστή Weston, XWayland, PulseAudio και FreeRDP.
Το σύστημα δημιουργίας CBL-Mariner σάς επιτρέπει να δημιουργείτε τόσο μεμονωμένα πακέτα RPM με βάση αρχεία SPEC και πηγαίο κώδικα, όσο και μονολιθικές εικόνες συστήματος που δημιουργούνται με τη χρήση της εργαλειοθήκης rpm-ostree και ενημερώνονται ατομικά χωρίς να χωρίζονται σε ξεχωριστά πακέτα. Αντίστοιχα, υποστηρίζονται δύο μοντέλα παράδοσης ενημερώσεων: μέσω ενημέρωσης μεμονωμένων πακέτων και μέσω ανακατασκευής και ενημέρωσης ολόκληρης της εικόνας του συστήματος. Η διανομή περιλαμβάνει μόνο τα πιο απαραίτητα στοιχεία και είναι βελτιστοποιημένη για ελάχιστη κατανάλωση μνήμης και χώρου στο δίσκο, καθώς και υψηλή ταχύτητα φόρτωσης. Η διανομή είναι επίσης αξιοσημείωτη για τη συμπερίληψη διαφόρων πρόσθετων μηχανισμών για την ενίσχυση της ασφάλειας.
Το έργο ακολουθεί μια προσέγγιση «μέγιστης ασφάλειας από προεπιλογή». Είναι δυνατό να φιλτράρετε κλήσεις συστήματος χρησιμοποιώντας τον μηχανισμό seccomp, να κρυπτογραφήσετε διαμερίσματα δίσκου και να επαληθεύσετε πακέτα χρησιμοποιώντας ψηφιακή υπογραφή. Στο στάδιο δημιουργίας, η προστασία έναντι υπερχείλισης στοίβας, υπερχείλισης buffer και προβλημάτων μορφοποίησης συμβολοσειρών είναι ενεργοποιημένη από προεπιλογή (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Ενεργοποιούνται οι λειτουργίες τυχαιοποίησης χώρου διευθύνσεων που υποστηρίζονται στον πυρήνα του Linux, καθώς και μηχανισμοί προστασίας από επιθέσεις συμβολικής σύνδεσης, mmap, /dev/mem και /dev/kmem. Οι περιοχές μνήμης που περιέχουν τμήματα με δεδομένα πυρήνα και λειτουργικής μονάδας έχουν ρυθμιστεί σε λειτουργία μόνο για ανάγνωση και η εκτέλεση κώδικα απαγορεύεται. Μια προαιρετική επιλογή είναι να απενεργοποιήσετε τη φόρτωση μονάδων πυρήνα μετά την προετοιμασία του συστήματος. Η εργαλειοθήκη iptables χρησιμοποιείται για το φιλτράρισμα πακέτων δικτύου.
Δεν παρέχονται προκατασκευασμένες εικόνες ISO. Υποτίθεται ότι ο χρήστης μπορεί να δημιουργήσει μόνος του μια εικόνα με το απαραίτητο γέμισμα (οι οδηγίες συναρμολόγησης παρέχονται για το Ubuntu 18.04). Διατίθεται ένα αποθετήριο προ-ενσωματωμένων πακέτων RPM, το οποίο μπορείτε να χρησιμοποιήσετε για να δημιουργήσετε τις δικές σας εικόνες με βάση το αρχείο διαμόρφωσης. Το αποθετήριο προσφέρει περίπου 3300 πακέτα. Για παράδειγμα, για να δημιουργήσετε μια πλήρη εικόνα iso, απλώς εκτελέστε: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
Ο διαχειριστής συστήματος systemd χρησιμοποιείται για τη διαχείριση υπηρεσιών και την εκκίνηση. Για τη διαχείριση πακέτων, παρέχονται οι διαχειριστές πακέτων RPM και DNF (παραλλαγή tdnf από το vmWare). Ο διακομιστής SSH δεν ενεργοποιείται σιωπηλά. Για να εγκαταστήσετε τη διανομή, παρέχεται ένα πρόγραμμα εγκατάστασης που μπορεί να λειτουργήσει τόσο σε λειτουργίες κειμένου όσο και σε γραφικά. Το πρόγραμμα εγκατάστασης παρέχει την επιλογή εγκατάστασης με ένα πλήρες ή βασικό σύνολο πακέτων και προσφέρει μια διεπαφή για την επιλογή ενός διαμερίσματος δίσκου, την επιλογή ενός ονόματος κεντρικού υπολογιστή και τη δημιουργία χρηστών.
Πηγή: opennet.ru