مایکروسافت انتشار توزیع CBL-Mariner 1.0 (Common Base Linux Mariner) را منتشر کرده است که به عنوان اولین نسخه پایدار پروژه مشخص شده است. توزیع CBL-Mariner به عنوان یک پلتفرم پایه جهانی برای محیطهای لینوکس که در زیرساختهای ابری، سیستمهای لبه و سرویسهای مختلف مایکروسافت استفاده میشود، در حال توسعه است. این پروژه با هدف یکسان سازی راه حل های لینوکس مایکروسافت و ساده سازی نگهداری سیستم های لینوکس برای اهداف مختلف به روز است. توسعه های این پروژه تحت مجوز MIT توزیع می شود.
این توزیع مجموعه استاندارد کوچکی از بستههای پایه را ارائه میکند که به عنوان پایهای جهانی برای ایجاد محتویات کانتینرها، محیطهای میزبان و سرویسهای در حال اجرا در زیرساختهای ابری و دستگاههای لبهای عمل میکنند. راهحلهای پیچیدهتر و تخصصیتر را میتوان با افزودن بستههای اضافی در بالای CBL-Mariner ایجاد کرد، اما اساس همه این سیستمها یکسان است و تعمیر و نگهداری و بهروزرسانی را آسانتر میکند.
به عنوان مثال، CBL-Mariner به عنوان پایه ای برای توزیع کوچک WSLg استفاده می شود که اجزای پشته گرافیکی را برای اجرای برنامه های رابط کاربری گرافیکی لینوکس در محیط های مبتنی بر زیرسیستم WSL2 (زیر سیستم ویندوز برای لینوکس) فراهم می کند. هسته اصلی این توزیع بدون تغییر است و قابلیت های توسعه یافته از طریق گنجاندن بسته های اضافی با سرور کامپوزیت Weston، XWayland، PulseAudio و FreeRDP محقق می شود.
سیستم ساخت CBL-Mariner به شما این امکان را میدهد که هم بستههای RPM مجزا را بر اساس فایلهای SPEC و کد منبع، و هم تصاویر سیستم یکپارچه تولید شده با استفاده از جعبه ابزار rpm-ostree و بهروزرسانی اتمی بدون تقسیم به بستههای جداگانه تولید کنید. بر این اساس، دو مدل تحویل بهروزرسانی پشتیبانی میشود: از طریق بهروزرسانی بستههای فردی و از طریق بازسازی و بهروزرسانی کل تصویر سیستم. توزیع تنها شامل ضروری ترین اجزا است و برای حداقل مصرف حافظه و فضای دیسک و همچنین سرعت بارگذاری بالا بهینه شده است. این توزیع همچنین به دلیل گنجاندن مکانیسم های مختلف اضافی برای افزایش امنیت قابل توجه است.
این پروژه از رویکرد "حداکثر امنیت به طور پیش فرض" استفاده می کند. فیلتر کردن تماس های سیستم با استفاده از مکانیزم seccomp، رمزگذاری پارتیشن های دیسک و تأیید بسته ها با استفاده از امضای دیجیتال امکان پذیر است. در مرحله ساخت، محافظت در برابر سرریزهای پشته، سرریز بافر و مشکلات قالب بندی رشته به طور پیش فرض فعال است (_FORTIFY_SOURCE، -fstack-protector، -Wformat-security، relro). حالتهای تصادفیسازی فضای آدرس که در هسته لینوکس پشتیبانی میشوند، و همچنین مکانیسمهای حفاظتی در برابر حملات symlink، mmap، /dev/mem و /dev/kmem فعال میشوند. نواحی حافظه که حاوی بخش هایی با داده های هسته و ماژول هستند روی حالت فقط خواندنی تنظیم شده و اجرای کد ممنوع است. یک گزینه اختیاری غیرفعال کردن بارگیری ماژول های هسته پس از مقداردهی اولیه سیستم است. جعبه ابزار iptables برای فیلتر کردن بسته های شبکه استفاده می شود.
تصاویر ISO از پیش ساخته شده ارائه نشده است. فرض بر این است که کاربر می تواند خودش یک تصویر با پر کردن لازم ایجاد کند (دستورالعمل های مونتاژ برای اوبونتو 18.04 ارائه شده است). یک مخزن از بسته های RPM از پیش ساخته شده در دسترس است که می توانید از آن برای ساخت تصاویر خود بر اساس فایل پیکربندی استفاده کنید. این مخزن حدود 3300 بسته ارائه می دهد. به عنوان مثال، برای ساخت یک تصویر کامل iso، کافی است اجرا کنید: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
سیستم مدیر systemd برای مدیریت خدمات و بوت استفاده می شود. برای مدیریت بسته، مدیریت بسته RPM و DNF (نوع tdnf از vmWare) ارائه شده است. سرور SSH بی صدا روشن نمی شود. برای نصب توزیع، نصب کننده ای ارائه شده است که می تواند در دو حالت متنی و گرافیکی کار کند. نصب کننده گزینه نصب با مجموعه کامل یا اولیه بسته ها را فراهم می کند و یک رابط برای انتخاب پارتیشن دیسک، انتخاب نام میزبان و ایجاد کاربران ارائه می دهد.
منبع: opennet.ru