Microsoft zverejnil vydanie distribúcie CBL-Mariner 1.0 (Common Base Linux Mariner), ktorá je označená ako prvé stabilné vydanie projektu. Distribúcia CBL-Mariner je vyvíjaná ako univerzálna základná platforma pre linuxové prostredia používané v cloudovej infraštruktúre, okrajových systémoch a rôznych službách Microsoftu. Projekt je zameraný na zjednotenie riešení Microsoft Linux a zjednodušenie údržby linuxových systémov na rôzne účely. Vývoj projektu je distribuovaný pod licenciou MIT.
Distribúcia poskytuje malú štandardnú sadu základných balíkov, ktoré slúžia ako univerzálny základ pre vytváranie obsahu kontajnerov, hostiteľských prostredí a služieb bežiacich v cloudových infraštruktúrach a na okrajových zariadeniach. Zložitejšie a špecializované riešenia je možné vytvoriť pridaním ďalších balíkov nad CBL-Mariner, ale základ pre všetky takéto systémy zostáva rovnaký, čo uľahčuje údržbu a aktualizácie.
Napríklad CBL-Mariner sa používa ako základ pre minidistribúciu WSLg, ktorá poskytuje komponenty grafického zásobníka na spustenie aplikácií GUI pre Linux v prostrediach založených na subsystéme WSL2 (Windows Subsystem for Linux). Jadro tejto distribúcie je nezmenené a rozšírená funkčnosť je realizovaná zahrnutím ďalších balíkov s Weston, XWayland, PulseAudio a kompozitným serverom FreeRDP.
Zostavovací systém CBL-Mariner vám umožňuje generovať jednotlivé balíky RPM založené na súboroch SPEC a zdrojovom kóde, ako aj monolitické obrazy systému generované pomocou súpravy nástrojov rpm-ostree a aktualizované atomicky bez rozdelenia do samostatných balíkov. V súlade s tým sú podporované dva modely poskytovania aktualizácií: prostredníctvom aktualizácie jednotlivých balíkov a prostredníctvom prebudovania a aktualizácie celého obrazu systému. Distribúcia obsahuje len tie najnutnejšie komponenty a je optimalizovaná pre minimálnu spotrebu pamäte a miesta na disku, ako aj vysokú rýchlosť načítania. Distribúcia je tiež pozoruhodná zahrnutím rôznych dodatočných mechanizmov na zvýšenie bezpečnosti.
Projekt využíva prístup „štandardne maximálnej bezpečnosti“. Je možné filtrovať systémové volania pomocou mechanizmu seccomp, šifrovať diskové oddiely a overovať balíky pomocou digitálneho podpisu. Vo fáze zostavovania je štandardne povolená ochrana proti pretečeniu zásobníka, pretečeniu vyrovnávacej pamäte a problémom s formátovaním reťazcov (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Sú aktivované režimy randomizácie adresného priestoru podporované v jadre Linuxu, ako aj ochranné mechanizmy proti útokom na symbolické odkazy, mmap, /dev/mem a /dev/kmem. Pamäťové oblasti, ktoré obsahujú segmenty s údajmi jadra a modulu, sú nastavené do režimu len na čítanie a vykonávanie kódu je zakázané. Voliteľnou možnosťou je zakázať načítanie modulov jadra po inicializácii systému. Na filtrovanie sieťových paketov sa používa sada nástrojov iptables.
Vopred pripravené obrázky ISO nie sú k dispozícii. Predpokladá sa, že používateľ si môže vytvoriť obrázok s potrebnou výplňou sám (pokyny na zostavenie sú poskytnuté pre Ubuntu 18.04). K dispozícii je úložisko vopred zostavených RPM balíkov, ktoré môžete použiť na vytvorenie vlastných obrazov na základe konfiguračného súboru. Úložisko ponúka približne 3300 XNUMX balíkov. Napríklad, ak chcete vytvoriť úplný obraz iso, stačí spustiť: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
Systémový manažér systemd sa používa na správu služieb a zavádzanie. Na správu balíkov sú k dispozícii správcovia balíkov RPM a DNF (variant tdnf od vmWare). Server SSH sa nezapne ticho. Na inštaláciu distribúcie je k dispozícii inštalačný program, ktorý môže pracovať v textovom aj grafickom režime. Inštalačný program poskytuje možnosť inštalácie s úplnou alebo základnou sadou balíkov a ponúka rozhranie na výber diskovej oblasti, výber názvu hostiteľa a vytváranie používateľov.
Zdroj: opennet.ru