Microsoft ir publicējusi CBL-Mariner 1.0 (Common Base Linux Mariner) izplatīšanas izlaidumu, kas ir atzīmēts kā pirmais stabilais projekta izlaidums. CBL-Mariner izplatīšana tiek izstrādāta kā universāla bāzes platforma Linux vidēm, ko izmanto mākoņu infrastruktūrā, malu sistēmās un dažādos Microsoft servisos. Projekta mērķis ir apvienot Microsoft Linux risinājumus un vienkāršot Linux sistēmu uzturēšanu dažādiem mērķiem. Projekta izstrādes tiek izplatītas saskaņā ar MIT licenci.
Izplatīšana nodrošina nelielu standarta pamata pakotņu komplektu, kas kalpo kā universāls pamats konteineru satura, saimniekdatoru vides un pakalpojumu izveidei, kas darbojas mākoņa infrastruktūrās un malas ierīcēs. Sarežģītākus un specializētākus risinājumus var izveidot, pievienojot papildu pakotnes CBL-Mariner, taču visu šādu sistēmu pamats paliek nemainīgs, atvieglojot apkopi un atjaunināšanu.
Piemēram, CBL-Mariner tiek izmantots kā WSLg mini izplatīšanas pamats, kas nodrošina grafikas steka komponentus Linux GUI lietojumprogrammu palaišanai vidēs, kuru pamatā ir WSL2 (Windows apakšsistēma Linux) apakšsistēma. Šī izplatīšanas kodols ir nemainīgs, un paplašināta funkcionalitāte tiek realizēta, iekļaujot papildu pakotnes ar Weston, XWayland, PulseAudio un FreeRDP salikto serveri.
CBL-Mariner veidošanas sistēma ļauj ģenerēt gan atsevišķas RPM pakotnes, kuru pamatā ir SPEC faili un avota kods, gan monolītus sistēmas attēlus, kas ģenerēti, izmantojot rpm-ostree rīku komplektu un atjaunināti atomiski, nesadalot tos atsevišķās pakotnēs. Attiecīgi tiek atbalstīti divi atjauninājumu piegādes modeļi: atjauninot atsevišķas pakotnes un pārbūvējot un atjauninot visu sistēmas attēlu. Izplatījumā ir iekļautas tikai nepieciešamākās sastāvdaļas un tas ir optimizēts minimālam atmiņas un diska vietas patēriņam, kā arī lielam ielādes ātrumam. Izplatīšana ir ievērojama arī ar dažādu papildu mehānismu iekļaušanu drošības uzlabošanai.
Projekts izmanto “maksimālās drošības pēc noklusējuma” pieeju. Ir iespējams filtrēt sistēmas zvanus, izmantojot seccomp mehānismu, šifrēt diska nodalījumus un pārbaudīt pakotnes, izmantojot ciparparakstu. Būvēšanas stadijā aizsardzība pret steka pārpildīšanu, bufera pārpildīšanu un virknes formatēšanas problēmām ir iespējota pēc noklusējuma (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Tiek aktivizēti Linux kodolā atbalstītie adrešu telpas randomizācijas režīmi, kā arī aizsardzības mehānismi pret simbolisko saišu uzbrukumiem, mmap, /dev/mem un /dev/kmem. Atmiņas apgabali, kas satur segmentus ar kodola un moduļa datiem, ir iestatīti tikai lasīšanas režīmā, un koda izpilde ir aizliegta. Papildu opcija ir atspējot kodola moduļu ielādi pēc sistēmas inicializācijas. Tīkla pakešu filtrēšanai tiek izmantots iptables rīku komplekts.
Iepriekš sagatavoti ISO attēli netiek nodrošināti. Tiek pieņemts, ka lietotājs pats var izveidot attēlu ar nepieciešamo pildījumu (Ubuntu 18.04 ir paredzētas montāžas instrukcijas). Ir pieejama iepriekš izveidoto RPM pakotņu repozitorijs, ko varat izmantot, lai izveidotu savus attēlus, pamatojoties uz konfigurācijas failu. Repozitorijs piedāvā aptuveni 3300 pakotnes. Piemēram, lai izveidotu pilnu ISO attēlu, vienkārši palaidiet: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /pilns .json
Sistēmas pārvaldnieks systemd tiek izmantots pakalpojumu pārvaldībai un sāknēšanai. Pakešu pārvaldībai tiek nodrošināti pakotņu pārvaldnieki RPM un DNF (tdnf variants no vmWare). SSH serveris neieslēdzas klusi. Lai instalētu izplatīšanu, tiek nodrošināts instalētājs, kas var darboties gan teksta, gan grafiskā režīmā. Instalēšanas programma nodrošina iespēju instalēt ar pilnu vai pamata pakotņu komplektu, kā arī piedāvā interfeisu diska nodalījuma atlasei, resursdatora nosaukuma atlasei un lietotāju izveidošanai.
Avots: opennet.ru