Microsoft ha publicado el lanzamiento de la distribución CBL-Mariner 1.0 (Common Base Linux Mariner), que está marcada como la primera versión estable del proyecto. La distribución CBL-Mariner se está desarrollando como una plataforma base universal para entornos Linux utilizados en infraestructura de nube, sistemas perimetrales y diversos servicios de Microsoft. El proyecto tiene como objetivo unificar las soluciones de Microsoft Linux y simplificar el mantenimiento de los sistemas Linux para diversos fines actualizados. Los desarrollos del proyecto se distribuyen bajo licencia MIT.
La distribución proporciona un pequeño conjunto estándar de paquetes básicos que sirven como base universal para crear contenidos de contenedores, entornos de host y servicios que se ejecutan en infraestructuras de nube y en dispositivos perimetrales. Se pueden crear soluciones más complejas y especializadas agregando paquetes adicionales además de CBL-Mariner, pero la base de todos estos sistemas sigue siendo la misma, lo que facilita el mantenimiento y las actualizaciones.
Por ejemplo, CBL-Mariner se utiliza como base para la minidistribución WSLg, que proporciona componentes de pila de gráficos para ejecutar aplicaciones GUI de Linux en entornos basados en el subsistema WSL2 (Subsistema de Windows para Linux). El núcleo de esta distribución no ha cambiado y la funcionalidad ampliada se logra mediante la inclusión de paquetes adicionales con el servidor compuesto Weston, XWayland, PulseAudio y FreeRDP.
El sistema de compilación CBL-Mariner le permite generar paquetes RPM individuales basados en archivos SPEC y código fuente, así como imágenes monolíticas del sistema generadas utilizando el kit de herramientas rpm-ostree y actualizadas atómicamente sin dividirse en paquetes separados. En consecuencia, se admiten dos modelos de entrega de actualizaciones: mediante la actualización de paquetes individuales y mediante la reconstrucción y actualización de toda la imagen del sistema. La distribución incluye solo los componentes más necesarios y está optimizada para un consumo mínimo de memoria y espacio en disco, así como una alta velocidad de carga. La distribución también destaca por la inclusión de varios mecanismos adicionales para mejorar la seguridad.
El proyecto adopta un enfoque de “máxima seguridad por defecto”. Es posible filtrar llamadas al sistema utilizando el mecanismo seccomp, cifrar particiones de disco y verificar paquetes mediante una firma digital. En la etapa de compilación, la protección contra desbordamientos de pila, desbordamientos de búfer y problemas de formato de cadenas está habilitada de forma predeterminada (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Se activan los modos de aleatorización del espacio de direcciones soportados en el kernel de Linux, así como los mecanismos de protección contra ataques de enlaces simbólicos, mmap, /dev/mem y /dev/kmem. Las áreas de memoria que contienen segmentos con datos del núcleo y del módulo están configuradas en modo de solo lectura y la ejecución de código está prohibida. Una opción opcional es desactivar la carga de módulos del kernel después de la inicialización del sistema. El kit de herramientas iptables se utiliza para filtrar paquetes de red.
No se proporcionan imágenes ISO prefabricadas. Se supone que el usuario puede crear él mismo una imagen con el relleno necesario (se proporcionan instrucciones de montaje para Ubuntu 18.04). Hay disponible un repositorio de paquetes RPM prediseñados, que puede utilizar para crear sus propias imágenes basadas en el archivo de configuración. El repositorio ofrece alrededor de 3300 paquetes. Por ejemplo, para crear una imagen ISO completa, simplemente ejecute: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs / .json completo
El administrador del sistema systemd se utiliza para administrar servicios y arrancar. Para la gestión de paquetes, se proporcionan los administradores de paquetes RPM y DNF (variante tdnf de vmWare). El servidor SSH no se enciende silenciosamente. Para instalar la distribución, se proporciona un instalador que puede funcionar tanto en modo texto como gráfico. El instalador ofrece la opción de instalar con un conjunto de paquetes completo o básico y ofrece una interfaz para seleccionar una partición de disco, seleccionar un nombre de host y crear usuarios.
Fuente: opennet.ru