Microsoft on avaldanud CBL-Mariner 1.0 (Common Base Linux Mariner) distributsiooni väljalase, mis on märgitud projekti esimeseks stabiilseks väljalaseks. Distributsiooni CBL-Mariner arendatakse universaalse baasplatvormina Linuxi keskkondadele, mida kasutatakse pilveinfrastruktuuris, servasüsteemides ja erinevates Microsofti teenustes. Projekti eesmärk on ühendada Microsoft Linuxi lahendused ja lihtsustada erinevatel eesmärkidel kasutatavate Linuxi süsteemide ajakohastamist. Projekti arendusi levitatakse MIT litsentsi all.
Jaotus pakub väikest standardset põhipakettide komplekti, mis on universaalseks aluseks pilveinfrastruktuurides ja servaseadmetes töötavate konteinerite, hostikeskkondade ja teenuste sisu loomiseks. Keerulisemaid ja spetsialiseeritud lahendusi saab luua lisapakettide lisamisega CBL-Marineri peale, kuid kõigi selliste süsteemide alus jääb samaks, muutes hoolduse ja uuendamise lihtsamaks.
Näiteks kasutatakse CBL-Marinerit WSLg mini-levituse alusena, mis pakub graafikapinu komponente Linuxi GUI rakenduste käitamiseks WSL2 (Windows Subsystem for Linux) alamsüsteemil põhinevates keskkondades. Selle distributsiooni tuum on muutumatu ja laiendatud funktsionaalsus realiseeritakse Westoni, XWaylandi, PulseAudio ja FreeRDP komposiitserveri lisapakettide kaudu.
CBL-Marineri ehitussüsteem võimaldab genereerida nii individuaalseid RPM-pakette SPEC-failide ja lähtekoodi põhjal kui ka monoliitseid süsteemipilte, mis on genereeritud rpm-ostree tööriistakomplekti abil ja mida värskendatakse aatomipõhiselt ilma eraldi pakettidena jagamata. Sellest lähtuvalt toetatakse kahte värskenduste tarnemudelit: üksikute pakettide värskendamise ning kogu süsteemipildi ümberehitamise ja värskendamise kaudu. Jaotus sisaldab ainult kõige vajalikumaid komponente ja on optimeeritud minimaalse mälu- ja kettaruumi tarbimise ning suure laadimiskiiruse jaoks. Jaotus on tähelepanuväärne ka erinevate lisamehhanismide lisamisega turvalisuse suurendamiseks.
Projekt kasutab vaikimisi maksimaalset turvalisust. Süsteemikõnesid on võimalik filtreerida seccomp-mehhanismi abil, krüptida ketta partitsioone ja kontrollida pakette digitaalallkirja abil. Koostamisetapis on kaitse virna ületäitumise, puhvri ületäitumise ja stringi vormindamise probleemide eest vaikimisi lubatud (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Aktiveeritakse Linuxi kerneli toetatud aadressiruumi randomiseerimisrežiimid, samuti kaitsemehhanismid sümlinki rünnakute, mmap, /dev/mem ja /dev/kmem vastu. Mälupiirkonnad, mis sisaldavad kerneli ja mooduli andmetega segmente, on seatud kirjutuskaitstud režiimile ja koodi täitmine on keelatud. Valikuline võimalus on keelata kerneli moodulite laadimine pärast süsteemi initsialiseerimist. Võrgupakettide filtreerimiseks kasutatakse tööriistakomplekti iptables.
Eeltehtud ISO-pilte ei pakuta. Eeldatakse, et kasutaja saab ise luua vajaliku täidisega pildi (Ubuntu 18.04 jaoks on komplekteerimisjuhised kaasas). Saadaval on eelehitatud RPM-pakettide hoidla, mida saate kasutada konfiguratsioonifaili põhjal oma piltide koostamiseks. Repositoorium pakub umbes 3300 paketti. Näiteks täieliku iso-pildi loomiseks käivitage lihtsalt: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /täielik .json
Süsteemihaldurit systemd kasutatakse teenuste haldamiseks ja alglaadimiseks. Paketihalduse jaoks on saadaval paketihaldurid RPM ja DNF (vmWare tdnf variant). SSH-server ei lülitu vaikselt sisse. Jaotuse installimiseks on kaasas installer, mis võib töötada nii teksti- kui ka graafilises režiimis. Installer pakub võimalust installida täis- või põhipakettidega ning pakub liidest kettapartitsiooni valimiseks, hostinime valimiseks ja kasutajate loomiseks.
Allikas: opennet.ru