Microsoft CBL-Mariner 1.0 (Common Base Linux Mariner) дистрибуциясынын чыгарылышын жарыялады, ал долбоордун биринчи туруктуу релизи катары белгиленген. CBL-Mariner бөлүштүрүү булут инфраструктурасында, чет тутумдарында жана Microsoftтун ар кандай кызматтарында колдонулган Linux чөйрөлөрү үчүн универсалдуу базалык платформа катары иштелип чыгууда. Долбоор Microsoft Linux чечимдерин унификациялоого жана Linux тутумдарын ар кандай максаттар үчүн тейлөөнү жөнөкөйлөтүүгө багытталган. Долбоордун иштеп чыгуулары MIT лицензиясы боюнча бөлүштүрүлөт.
Бөлүштүрүү булут инфраструктураларында жана четтеги түзмөктөрдө иштеген контейнерлердин, хост чөйрөлөрүнүн жана кызматтардын мазмунун түзүү үчүн универсалдуу негиз катары кызмат кылган базалык пакеттердин чакан стандарттуу топтомун камсыз кылат. Татаал жана адистештирилген чечимдерди CBL-Marinerдин үстүнө кошумча пакеттерди кошуу менен түзүүгө болот, бирок бардык мындай системалардын негизи ошол эле бойдон калып, тейлөөнү жана жаңыртууларды жеңилдетет.
Мисалы, CBL-Mariner WSL2 (Linux үчүн Windows Subsystem) подсистемасына негизделген чөйрөлөрдө Linux GUI тиркемелерин иштетүү үчүн графикалык стек компоненттерин камсыз кылган WSLg мини-таратылышы үчүн негиз катары колдонулат. Бул бөлүштүрүүнүн өзөгү өзгөрүүсүз, кеңейтилген функционалдуулук Weston, XWayland, PulseAudio жана FreeRDP курама сервери менен кошумча пакеттерди киргизүү аркылуу ишке ашат.
CBL-Mariner куруу системасы SPEC файлдарынын жана баштапкы коддун негизинде жеке RPM пакеттерин, ошондой эле rpm-ostree инструменттеринин жардамы менен түзүлгөн жана өзүнчө пакеттерге бөлүнбөстөн атомдук түрдө жаңыртылган монолиттик тутум сүрөттөрүн түзүүгө мүмкүндүк берет. Демек, эки жаңыртуу жеткирүү модели колдоого алынат: жеке пакеттерди жаңылоо аркылуу жана бүт системанын имиджин кайра куруу жана жаңыртуу аркылуу. Бөлүштүрүү эң керектүү компоненттерди гана камтыйт жана эстутум жана диск мейкиндигин минималдуу керектөөгө, ошондой эле жогорку жүктөө ылдамдыгына ылайыкташтырылган. Бөлүштүрүү ошондой эле коопсуздукту күчөтүү үчүн ар кандай кошумча механизмдерди камтуу менен өзгөчөлөнөт.
Долбоор "демейки боюнча максималдуу коопсуздук" ыкмасын колдонот. Seccomp механизминин жардамы менен системалык чалууларды чыпкалоо, диск бөлүктөрүн шифрлөө жана санариптик кол коюу аркылуу пакеттерди текшерүү мүмкүн. Куруу стадиясында стектин ашып кетишинен, буфердин ашып кетишинен жана сапты форматтоо көйгөйлөрүнөн коргоо демейки боюнча иштетилген (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Linux ядросунда колдоого алынган дарек мейкиндигин рандомизациялоо режимдери, ошондой эле символдук чабуулдардан коргоо механизмдери, mmap, /dev/mem жана /dev/kmem иштетилди. Ядро жана модулдук маалыматтары бар сегменттерди камтыган эс тутум аймактары окуу үчүн гана режимге коюлган жана кодду аткарууга тыюу салынган. Кошумча вариант - системаны инициализациялоодон кийин ядро модулдарын жүктөөнү өчүрүү. iptables инструменттери тармак пакеттерин чыпкалоо үчүн колдонулат.
Алдын ала жасалган ISO сүрөттөрү берилген эмес. Колдонуучу өзү керектүү толтуруу менен сүрөттү түзө алат деп болжолдонууда (монтаждоо көрсөтмөлөрү Ubuntu 18.04 үчүн берилген). Алдын ала курулган RPM пакеттеринин репозиторийлери бар, аны конфигурация файлынын негизинде өз сүрөттөрүңүздү куруу үчүн колдоно аласыз. Репозиторий болжол менен 3300 пакетти сунуштайт. Мисалы, толук iso сүрөтүн түзүү үчүн жөн гана иштетиңиз: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
Системанын менеджери systemd кызматтарды башкаруу жана жүктөө үчүн колдонулат. Пакетти башкаруу үчүн RPM жана DNF пакет менеджерлери (vmWareден tdnf варианты) берилген. SSH сервери унчукпай күйбөйт. Бөлүштүрүүнү орнотуу үчүн тексттик жана графикалык режимдерде иштей ала турган орнотуучу берилет. Орнотуучу пакеттердин толук же негизги топтому менен орнотуу опциясын камсыздайт жана диск бөлүгүн тандоо, хост атын тандоо жана колдонуучуларды түзүү үчүн интерфейсти сунуштайт.
Source: opennet.ru