A Microsoft publicou o lançamento da distribuição CBL-Mariner 1.0 (Common Base Linux Mariner), que é marcada como a primeira versão estável do projeto. A distribuição CBL-Mariner está sendo desenvolvida como uma plataforma base universal para ambientes Linux usados em infraestrutura em nuvem, sistemas de ponta e diversos serviços Microsoft. O projeto visa unificar soluções Microsoft Linux e simplificar a manutenção de sistemas Linux para diversas finalidades atualizadas. Os desenvolvimentos do projeto são distribuídos sob licença do MIT.
A distribuição fornece um pequeno conjunto padrão de pacotes básicos que servem como base universal para a criação de conteúdo de contêineres, ambientes de host e serviços executados em infraestruturas de nuvem e em dispositivos de ponta. Soluções mais complexas e especializadas podem ser criadas adicionando pacotes adicionais ao CBL-Mariner, mas a base para todos esses sistemas permanece a mesma, facilitando a manutenção e as atualizações.
Por exemplo, CBL-Mariner é usado como base para a minidistribuição WSLg, que fornece componentes de pilha gráfica para executar aplicativos Linux GUI em ambientes baseados no subsistema WSL2 (Windows Subsystem for Linux). O núcleo desta distribuição permanece inalterado e a funcionalidade expandida é realizada através da inclusão de pacotes adicionais com o servidor composto Weston, XWayland, PulseAudio e FreeRDP.
O sistema de construção CBL-Mariner permite gerar pacotes RPM individuais baseados em arquivos SPEC e código-fonte, bem como imagens de sistema monolíticas geradas usando o kit de ferramentas rpm-ostree e atualizadas atomicamente sem dividir em pacotes separados. Conseqüentemente, dois modelos de entrega de atualização são suportados: através da atualização de pacotes individuais e através da reconstrução e atualização de toda a imagem do sistema. A distribuição inclui apenas os componentes mais necessários e é otimizada para consumo mínimo de memória e espaço em disco, além de alta velocidade de carregamento. A distribuição também se destaca pela inclusão de vários mecanismos adicionais para aumentar a segurança.
O projeto adota uma abordagem de “segurança máxima por padrão”. É possível filtrar chamadas do sistema usando o mecanismo seccomp, criptografar partições de disco e verificar pacotes usando assinatura digital. No estágio de construção, a proteção contra estouros de pilha, estouros de buffer e problemas de formatação de string é habilitada por padrão (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Os modos de randomização do espaço de endereço suportados no kernel Linux são ativados, bem como mecanismos de proteção contra ataques de links simbólicos, mmap, /dev/mem e /dev/kmem. As áreas de memória que contêm segmentos com dados do kernel e do módulo são configuradas para modo somente leitura e a execução de código é proibida. Uma opção opcional é desabilitar o carregamento de módulos do kernel após a inicialização do sistema. O kit de ferramentas iptables é usado para filtrar pacotes de rede.
Imagens ISO pré-fabricadas não são fornecidas. Supõe-se que o próprio usuário possa criar uma imagem com o preenchimento necessário (as instruções de montagem são fornecidas para o Ubuntu 18.04). Está disponível um repositório de pacotes RPM pré-construídos, que você pode usar para construir suas próprias imagens com base no arquivo de configuração. O repositório oferece cerca de 3300 pacotes. Por exemplo, para construir uma imagem iso completa, basta executar: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /completo.json
O gerenciador de sistema systemd é usado para gerenciar serviços e inicialização. Para gerenciamento de pacotes, são fornecidos gerenciadores de pacotes RPM e DNF (variante tdnf do vmWare). O servidor SSH não liga silenciosamente. Para instalar a distribuição, é fornecido um instalador que pode funcionar tanto em modo texto quanto gráfico. O instalador oferece a opção de instalação com um conjunto completo ou básico de pacotes e oferece uma interface para selecionar uma partição de disco, selecionar um nome de host e criar usuários.
Fonte: opennet.ru