Microsoft on julkaissut CBL-Mariner 1.0 (Common Base Linux Mariner) -jakelun julkaisun, joka on merkitty projektin ensimmäiseksi vakaaksi julkaisuksi. CBL-Mariner-jakelua kehitetään universaaliksi perusalustaksi pilviinfrastruktuurissa, reunajärjestelmissä ja erilaisissa Microsoft-palveluissa käytettäville Linux-ympäristöille. Hankkeen tavoitteena on yhtenäistää Microsoft Linux -ratkaisuja ja yksinkertaistaa Linux-järjestelmien ylläpitoa erilaisiin tarkoituksiin ajan tasalla. Projektin kehitystyötä jaetaan MIT-lisenssillä.
Jakelu tarjoaa pienen vakiopaketin peruspaketteja, jotka toimivat universaalina pohjana pilviinfrastruktuureissa ja reunalaitteissa toimivien säiliöiden, isäntäympäristöjen ja palveluiden sisällön luomiselle. Monimutkaisempia ja erikoistuneita ratkaisuja voidaan luoda lisäämällä CBL-Marinerin päälle lisäpaketteja, mutta kaikkien tällaisten järjestelmien perusta pysyy samana, mikä helpottaa ylläpitoa ja päivityksiä.
Esimerkiksi CBL-Marineria käytetään perustana WSLg-minijakelulle, joka tarjoaa grafiikkapinokomponentteja Linuxin GUI-sovellusten suorittamiseen WSL2-alijärjestelmään (Windows Subsystem for Linux) perustuvissa ympäristöissä. Tämän jakelun ydin on ennallaan, ja laajennettu toiminnallisuus toteutetaan sisällyttämällä lisäpaketteja Weston-, XWayland-, PulseAudio- ja FreeRDP-komposiittipalvelimeen.
CBL-Mariner-rakennusjärjestelmän avulla voit luoda sekä yksittäisiä RPM-paketteja SPEC-tiedostojen ja lähdekoodin perusteella että monoliittisia järjestelmäkuvia, jotka on luotu rpm-ostree-työkalupakin avulla ja päivitetty atomaalisesti jakamatta erillisiin paketteihin. Tämän mukaisesti tuetaan kahta päivityksen toimitusmallia: yksittäisten pakettien päivittämisellä ja koko järjestelmäkuvan uudelleenrakentamisella ja päivittämisellä. Jakelu sisältää vain tarpeellisimmat komponentit ja on optimoitu minimaaliseen muistin ja levytilan kulutukseen sekä suureen latausnopeuteen. Jakelu on huomionarvoista myös siitä, että se sisältää erilaisia lisämekanismeja turvallisuuden parantamiseksi.
Projekti noudattaa "oletusarvoisesti suurinta turvallisuutta" -lähestymistapaa. On mahdollista suodattaa järjestelmäkutsuja seccomp-mekanismilla, salata levyosiot ja tarkistaa paketit digitaalisella allekirjoituksella. Rakennusvaiheessa suojaus pinon ylivuodoilta, puskurin ylivuodoilta ja merkkijonojen muotoiluongelmilta on oletusarvoisesti käytössä (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Linux-ytimen tukemat osoitetilan satunnaistustilat sekä suojausmekanismit symlink-hyökkäyksiltä, mmap, /dev/mem ja /dev/kmem ovat aktivoituina. Muistialueet, jotka sisältävät segmenttejä, joissa on ydin- ja moduulitietoja, on asetettu vain luku -tilaan, ja koodin suorittaminen on kielletty. Valinnainen vaihtoehto on estää ydinmoduulien lataaminen järjestelmän alustuksen jälkeen. Iptables-työkalupakkia käytetään verkkopakettien suodattamiseen.
Valmiita ISO-kuvia ei toimiteta. Oletuksena on, että käyttäjä voi itse luoda kuvan tarvittavalla täytteellä (Ubuntu 18.04:lle on kokoamisohjeet). Saatavilla on valmiiksi rakennettujen RPM-pakettien arkisto, jonka avulla voit rakentaa omia kuviasi asetustiedoston perusteella. Arkisto tarjoaa noin 3300 XNUMX pakettia. Jos haluat esimerkiksi luoda täydellisen iso-kuvan, suorita: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
Järjestelmänhallintaa systemd käytetään palvelujen hallintaan ja käynnistykseen. Paketinhallintaa varten tarjotaan paketinhallintaohjelmat RPM ja DNF (vmWaren tdnf-variantti). SSH-palvelin ei käynnisty äänettömästi. Jakelun asentamista varten toimitetaan asennusohjelma, joka voi toimia sekä teksti- että graafisessa tilassa. Asennusohjelma tarjoaa mahdollisuuden asennukseen täydellä tai peruspaketilla ja tarjoaa käyttöliittymän levyosion valitsemiseen, isäntänimen valitsemiseen ja käyttäjien luomiseen.
Lähde: opennet.ru