Microsoft は、CBL-Mariner 1.0 (Common Base Linux Mariner) ディストリビューションのリリースを公開しました。これは、プロジェクトの最初の安定版リリースとしてマークされています。 CBL-Mariner ディストリビューションは、クラウド インフラストラクチャ、エッジ システム、さまざまな Microsoft サービスで使用される Linux 環境のユニバーサル ベース プラットフォームとして開発されています。 このプロジェクトは、Microsoft Linux ソリューションを統合し、最新のさまざまな目的に合わせて Linux システムのメンテナンスを簡素化することを目的としています。 プロジェクトの開発は MIT ライセンスに基づいて配布されます。
このディストリビューションは、クラウド インフラストラクチャやエッジ デバイスで実行されるコンテナ、ホスト環境、サービスのコンテンツを作成するための普遍的な基盤として機能する、基本パッケージの小規模な標準セットを提供します。 CBL-Mariner の上に追加のパッケージを追加することで、より複雑で特殊なソリューションを作成できますが、そのようなすべてのシステムの基礎は同じままであるため、メンテナンスと更新が容易になります。
たとえば、CBL-Mariner は、WSLg ミニ ディストリビューションの基礎として使用され、WSL2 (Windows Subsystem for Linux) サブシステムに基づく環境で Linux GUI アプリケーションを実行するためのグラフィック スタック コンポーネントを提供します。 このディストリビューションのコアは変更されていませんが、Weston、XWayland、PulseAudio、および FreeRDP 複合サーバーに追加のパッケージを含めることによって拡張された機能が実現されます。
CBL-Mariner ビルド システムを使用すると、SPEC ファイルとソース コードに基づいた個別の RPM パッケージと、rpm-ostree ツールキットを使用して生成され、個別のパッケージに分割せずにアトミックに更新されるモノリシック システム イメージの両方を生成できます。 したがって、個々のパッケージの更新によるものと、システム イメージ全体の再構築と更新によるものという XNUMX つの更新配信モデルがサポートされています。 ディストリビューションには、最も必要なコンポーネントのみが含まれており、メモリとディスク容量の消費を最小限に抑え、高速な読み込み速度を実現するように最適化されています。 このディストリビューションには、セキュリティを強化するためのさまざまな追加メカニズムが含まれていることでも注目に値します。
このプロジェクトは、「デフォルトで最大のセキュリティ」アプローチを採用しています。 seccomp メカニズムを使用してシステム コールをフィルタリングし、ディスク パーティションを暗号化し、デジタル署名を使用してパッケージを検証することができます。 ビルド段階では、スタック オーバーフロー、バッファ オーバーフロー、文字列フォーマットの問題に対する保護がデフォルトで有効になっています (_FORTIFY_SOURCE、-fstack-protector、-Wformat-security、relro)。 Linux カーネルでサポートされているアドレス空間ランダム化モードと、シンボリックリンク攻撃に対する保護メカニズム、mmap、/dev/mem、/dev/kmem がアクティブ化されます。 カーネルおよびモジュール データを含むセグメントを含むメモリ領域は読み取り専用モードに設定され、コードの実行は禁止されます。 オプションのオプションは、システムの初期化後のカーネル モジュールのロードを無効にすることです。 iptables ツールキットは、ネットワーク パケットをフィルタリングするために使用されます。
既製の ISO イメージは提供されません。 ユーザーが必要な塗りつぶしを含むイメージを自分で作成できることを前提としています (Ubuntu 18.04 の組み立て手順が提供されています)。 事前に構築された RPM パッケージのリポジトリが利用可能であり、これを使用して構成ファイルに基づいて独自のイメージを構築できます。 リポジトリは約 3300 のパッケージを提供します。 たとえば、完全な ISO イメージをビルドするには、次を実行するだけです: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /完全な.json
システム マネージャー systemd は、サービスとブートの管理に使用されます。 パッケージ管理のために、パッケージ マネージャー RPM および DNF (vmWare の tdnf バリアント) が提供されます。 SSH サーバーはサイレントにオンになりません。 ディストリビューションをインストールするには、テキスト モードとグラフィック モードの両方で動作できるインストーラーが提供されます。 インストーラは、パッケージの完全セットまたは基本セットを使用してインストールするオプションを提供し、ディスク パーティションの選択、ホスト名の選択、およびユーザーの作成のためのインターフェイスを提供します。
出所: オープンネット.ru