Microsoft a publié la version de la distribution CBL-Mariner 1.0 (Common Base Linux Mariner), qui est considérée comme la première version stable du projet. La distribution CBL-Mariner est développée en tant que plate-forme de base universelle pour les environnements Linux utilisés dans l'infrastructure cloud, les systèmes Edge et divers services Microsoft. Le projet vise à unifier les solutions Microsoft Linux et à simplifier la maintenance des systèmes Linux à diverses fins. Les développements du projet sont distribués sous licence MIT.
La distribution fournit un petit ensemble standard de packages de base qui servent de base universelle pour créer le contenu de conteneurs, d'environnements hôtes et de services exécutés dans des infrastructures cloud et des appareils en périphérie. Des solutions plus complexes et spécialisées peuvent être créées en ajoutant des packages supplémentaires au-dessus de CBL-Mariner, mais la base de tous ces systèmes reste la même, ce qui facilite la maintenance et les mises à jour.
Par exemple, CBL-Mariner est utilisé comme base pour la mini-distribution WSLg, qui fournit des composants de pile graphique pour exécuter des applications GUI Linux dans des environnements basés sur le sous-système WSL2 (Windows Subsystem for Linux). Le cœur de cette distribution est inchangé et des fonctionnalités étendues sont réalisées grâce à l'inclusion de packages supplémentaires avec le serveur composite Weston, XWayland, PulseAudio et FreeRDP.
Le système de construction CBL-Mariner vous permet de générer à la fois des packages RPM individuels basés sur des fichiers SPEC et du code source, ainsi que des images système monolithiques générées à l'aide de la boîte à outils rpm-ostree et mises à jour de manière atomique sans les diviser en packages séparés. En conséquence, deux modèles de livraison de mises à jour sont pris en charge : via la mise à jour de packages individuels et via la reconstruction et la mise à jour de l'intégralité de l'image système. La distribution ne comprend que les composants les plus nécessaires et est optimisée pour une consommation minimale de mémoire et d'espace disque, ainsi qu'une vitesse de chargement élevée. La distribution se distingue également par l'inclusion de divers mécanismes supplémentaires pour améliorer la sécurité.
Le projet adopte une approche de « sécurité maximale par défaut ». Il est possible de filtrer les appels système à l'aide du mécanisme seccomp, de chiffrer les partitions de disque et de vérifier les packages à l'aide d'une signature numérique. Au stade de la construction, la protection contre les débordements de pile, les débordements de tampon et les problèmes de formatage de chaîne est activée par défaut (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Les modes de randomisation de l'espace d'adressage pris en charge dans le noyau Linux sont activés, ainsi que les mécanismes de protection contre les attaques de liens symboliques, mmap, /dev/mem et /dev/kmem. Les zones mémoire contenant des segments contenant des données de noyau et de module sont définies en mode lecture seule et l'exécution de code est interdite. Une option facultative consiste à désactiver le chargement des modules du noyau après l'initialisation du système. La boîte à outils iptables est utilisée pour filtrer les paquets réseau.
Les images ISO prédéfinies ne sont pas fournies. On suppose que l'utilisateur peut créer lui-même une image avec le remplissage nécessaire (les instructions d'assemblage sont fournies pour Ubuntu 18.04). Un référentiel de packages RPM prédéfinis est disponible, que vous pouvez utiliser pour créer vos propres images basées sur le fichier de configuration. Le référentiel propose environ 3300 XNUMX packages. Par exemple, pour créer une image ISO complète, exécutez simplement : git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /complet .json
Le gestionnaire système systemd est utilisé pour gérer les services et le démarrage. Pour la gestion des packages, les gestionnaires de packages RPM et DNF (variante tdnf de vmWare) sont fournis. Le serveur SSH ne s'allume pas en silence. Pour installer la distribution, un programme d'installation est fourni qui peut fonctionner à la fois en mode texte et en mode graphique. Le programme d'installation offre la possibilité d'installer un ensemble complet ou de base de packages et propose une interface permettant de sélectionner une partition de disque, de sélectionner un nom d'hôte et de créer des utilisateurs.
Source: opennet.ru