Microsoft ha pubblicato il rilascio della distribuzione CBL-Mariner 1.0 (Common Base Linux Mariner), che è contrassegnato come il primo rilascio stabile del progetto. La distribuzione CBL-Mariner viene sviluppata come piattaforma di base universale per ambienti Linux utilizzati nell'infrastruttura cloud, nei sistemi edge e in vari servizi Microsoft. Il progetto mira a unificare le soluzioni Microsoft Linux e semplificare la manutenzione dei sistemi Linux per vari scopi aggiornati. Gli sviluppi del progetto sono distribuiti sotto licenza MIT.
La distribuzione fornisce un piccolo set standard di pacchetti base che fungono da base universale per la creazione di contenuti di contenitori, ambienti host e servizi in esecuzione nelle infrastrutture cloud e sui dispositivi edge. È possibile creare soluzioni più complesse e specializzate aggiungendo pacchetti aggiuntivi a CBL-Mariner, ma la base per tutti questi sistemi rimane la stessa, facilitando la manutenzione e gli aggiornamenti.
Ad esempio, CBL-Mariner viene utilizzato come base per la mini-distribuzione WSLg, che fornisce componenti dello stack grafico per l'esecuzione di applicazioni GUI Linux in ambienti basati sul sottosistema WSL2 (Windows Subsystem for Linux). Il nucleo di questa distribuzione è rimasto invariato e le funzionalità estese sono realizzate attraverso l'inclusione di pacchetti aggiuntivi con il server composito Weston, XWayland, PulseAudio e FreeRDP.
Il sistema di build CBL-Mariner consente di generare sia singoli pacchetti RPM basati su file SPEC e codice sorgente, sia immagini di sistema monolitiche generate utilizzando il toolkit rpm-ostree e aggiornate atomicamente senza suddividersi in pacchetti separati. Di conseguenza, sono supportati due modelli di distribuzione degli aggiornamenti: tramite l'aggiornamento di singoli pacchetti e tramite la ricostruzione e l'aggiornamento dell'intera immagine del sistema. La distribuzione include solo i componenti più necessari ed è ottimizzata per un consumo minimo di memoria e spazio su disco, nonché per un'elevata velocità di caricamento. La distribuzione è degna di nota anche per l'inclusione di vari meccanismi aggiuntivi per migliorare la sicurezza.
Il progetto adotta un approccio di “massima sicurezza per impostazione predefinita”. È possibile filtrare le chiamate di sistema utilizzando il meccanismo seccomp, crittografare le partizioni del disco e verificare i pacchetti utilizzando una firma digitale. In fase di creazione, la protezione contro stack overflow, buffer overflow e problemi di formattazione delle stringhe è abilitata per impostazione predefinita (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Vengono attivate le modalità di randomizzazione dello spazio degli indirizzi supportate nel kernel Linux, così come i meccanismi di protezione contro gli attacchi dei collegamenti simbolici, mmap, /dev/mem e /dev/kmem. Le aree di memoria che contengono segmenti con dati del kernel e del modulo sono impostate sulla modalità di sola lettura e l'esecuzione del codice è vietata. Un'opzione opzionale è disabilitare il caricamento dei moduli del kernel dopo l'inizializzazione del sistema. Il toolkit iptables viene utilizzato per filtrare i pacchetti di rete.
Non vengono fornite immagini ISO predefinite. Si presuppone che l'utente possa creare da solo un'immagine con il riempimento necessario (le istruzioni di assemblaggio sono fornite per Ubuntu 18.04). È disponibile un repository di pacchetti RPM predefiniti, che puoi utilizzare per creare le tue immagini in base al file di configurazione. Il repository offre circa 3300 pacchetti. Ad esempio, per creare un'immagine ISO completa, esegui semplicemente: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full.json
Il gestore di sistema systemd viene utilizzato per gestire i servizi e l'avvio. Per la gestione dei pacchetti vengono forniti i gestori di pacchetti RPM e DNF (variante tdnf di vmWare). Il server SSH non si accende silenziosamente. Per installare la distribuzione viene fornito un programma di installazione che può funzionare sia in modalità testo che grafica. Il programma di installazione offre la possibilità di installare con un set completo o di base di pacchetti e offre un'interfaccia per selezionare una partizione del disco, selezionare un nome host e creare utenti.
Fonte: opennet.ru