Microsoft publicou o lanzamento da distribución CBL-Mariner 1.0 (Common Base Linux Mariner), que está marcada como a primeira versión estable do proxecto. A distribución CBL-Mariner estase a desenvolver como unha plataforma base universal para contornas Linux utilizadas en infraestruturas de nube, sistemas de borde e varios servizos de Microsoft. O proxecto ten como obxectivo unificar as solucións de Microsoft Linux e simplificar o mantemento dos sistemas Linux para diversos fins actualizados. Os desenvolvementos do proxecto distribúense baixo a licenza MIT.
A distribución proporciona un pequeno conxunto estándar de paquetes básicos que serven de base universal para crear contidos de contedores, contornas anfitrións e servizos que se executan en infraestruturas na nube e en dispositivos de punta. Pódense crear solucións máis complexas e especializadas engadindo paquetes adicionais enriba de CBL-Mariner, pero a base de todos estes sistemas segue sendo a mesma, facilitando o mantemento e as actualizacións.
Por exemplo, CBL-Mariner utilízase como base para a minidistribución WSLg, que proporciona compoñentes da pila de gráficos para executar aplicacións GUI de Linux en ambientes baseados no subsistema WSL2 (Windows Subsystem for Linux). O núcleo desta distribución non se modifica e a funcionalidade ampliada realízase mediante a inclusión de paquetes adicionais co servidor composto Weston, XWayland, PulseAudio e FreeRDP.
O sistema de compilación CBL-Mariner permítelle xerar paquetes RPM individuais baseados en ficheiros SPEC e código fonte, así como imaxes monolíticas do sistema xeradas mediante o kit de ferramentas rpm-ostree e actualizadas atómicamente sen dividir en paquetes separados. En consecuencia, son compatibles dous modelos de entrega de actualizacións: a través da actualización de paquetes individuais e a través da reconstrución e actualización da imaxe do sistema completo. A distribución inclúe só os compoñentes máis necesarios e está optimizada para un consumo mínimo de memoria e espazo en disco, así como unha alta velocidade de carga. A distribución tamén destaca pola inclusión de varios mecanismos adicionais para mellorar a seguridade.
O proxecto adopta un enfoque de "máxima seguridade por defecto". É posible filtrar as chamadas do sistema usando o mecanismo seccomp, cifrar particións de disco e verificar paquetes mediante unha sinatura dixital. Na fase de compilación, a protección contra desbordamentos de pila, desbordamentos de búfer e problemas de formato de cadeas está activada por defecto (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Actívanse os modos de aleatorización do espazo de enderezos admitidos no núcleo de Linux, así como os mecanismos de protección contra ataques de ligazóns simbólicas, mmap, /dev/mem e /dev/kmem. As áreas de memoria que conteñen segmentos con datos do núcleo e do módulo están configuradas en modo de só lectura e a execución de código está prohibida. Unha opción opcional é desactivar a carga de módulos do núcleo despois da inicialización do sistema. O kit de ferramentas iptables úsase para filtrar paquetes de rede.
Non se proporcionan imaxes ISO prefeitas. Suponse que o usuario pode crear unha imaxe co recheo necesario por si mesmo (as instrucións de montaxe son proporcionadas para Ubuntu 18.04). Está dispoñible un repositorio de paquetes RPM preconstruídos, que podes usar para crear as túas propias imaxes baseadas no ficheiro de configuración. O repositorio ofrece uns 3300 paquetes. Por exemplo, para crear unha imaxe iso completa, só tes que executar: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
O xestor do sistema systemd úsase para xestionar servizos e arrancar. Para a xestión de paquetes, ofrécense xestores de paquetes RPM e DNF (variante tdnf de vmWare). O servidor SSH non se acende en silencio. Para instalar a distribución, ofrécese un instalador que pode funcionar tanto en modo texto como gráfico. O instalador ofrece a opción de instalar un conxunto completo ou básico de paquetes e ofrece unha interface para seleccionar unha partición de disco, seleccionar un nome de host e crear usuarios.
Fonte: opennet.ru