Microsoft ka publikuar lëshimin e shpërndarjes CBL-Mariner 1.0 (Common Base Linux Mariner), e cila është shënuar si lëshimi i parë i qëndrueshëm i projektit. Shpërndarja CBL-Mariner po zhvillohet si një platformë bazë universale për mjediset Linux të përdorura në infrastrukturën cloud, sistemet e skajeve dhe shërbime të ndryshme të Microsoft. Projekti ka për qëllim unifikimin e zgjidhjeve të Microsoft Linux dhe thjeshtimin e mirëmbajtjes së sistemeve Linux për qëllime të ndryshme deri më tani. Zhvillimet e projektit shpërndahen nën licencën MIT.
Shpërndarja ofron një grup të vogël standard paketash bazë që shërbejnë si një bazë universale për krijimin e përmbajtjes së kontejnerëve, mjediseve pritës dhe shërbimeve që funksionojnë në infrastrukturat cloud dhe në pajisjet anësore. Zgjidhje më komplekse dhe të specializuara mund të krijohen duke shtuar paketa shtesë në krye të CBL-Mariner, por baza për të gjitha sistemet e tilla mbetet e njëjtë, duke e bërë mirëmbajtjen dhe përditësimet më të lehta.
Për shembull, CBL-Mariner përdoret si bazë për mini-shpërndarjen WSLg, e cila ofron komponentë grafikë për ekzekutimin e aplikacioneve Linux GUI në mjedise të bazuara në nënsistemin WSL2 (Windows Subsystem for Linux). Thelbi i kësaj shpërndarjeje është i pandryshuar dhe funksionaliteti i zgjeruar realizohet përmes përfshirjes së paketave shtesë me serverin e përbërë Weston, XWayland, PulseAudio dhe FreeRDP.
Sistemi i ndërtimit CBL-Mariner ju lejon të gjeneroni të dyja paketat individuale RPM bazuar në skedarët SPEC dhe kodin burimor, si dhe imazhet monolit të sistemit të krijuara duke përdorur paketën e veglave rpm-ostree dhe të përditësuara në mënyrë atomike pa u ndarë në paketa të veçanta. Prandaj, mbështeten dy modele të shpërndarjes së përditësimeve: nëpërmjet përditësimit të paketave individuale dhe nëpërmjet rindërtimit dhe përditësimit të të gjithë imazhit të sistemit. Shpërndarja përfshin vetëm komponentët më të nevojshëm dhe është optimizuar për konsum minimal të memories dhe hapësirës në disk, si dhe shpejtësi të lartë ngarkimi. Shpërndarja është gjithashtu e dukshme për përfshirjen e mekanizmave të ndryshëm shtesë për të rritur sigurinë.
Projekti merr një qasje "sigurie maksimale si parazgjedhje". Është e mundur të filtroni thirrjet e sistemit duke përdorur mekanizmin seccomp, të kriptoni ndarjet e diskut dhe të verifikoni paketat duke përdorur një nënshkrim dixhital. Në fazën e ndërtimit, mbrojtja kundër tejmbushjeve të stivës, tejmbushjeve të buferit dhe problemeve të formatimit të vargjeve është aktivizuar si parazgjedhje (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Aktivizohen mënyrat e rastësishme të hapësirës së adresave të mbështetura në kernelin Linux, si dhe mekanizmat e mbrojtjes kundër sulmeve të lidhjeve simbolike, mmap, /dev/mem dhe /dev/kmem. Zonat e memories që përmbajnë segmente me të dhëna të kernelit dhe modulit janë vendosur në modalitetin vetëm për lexim dhe ekzekutimi i kodit është i ndaluar. Një opsion opsional është të çaktivizoni ngarkimin e moduleve të kernelit pas inicializimit të sistemit. Paketa e veglave iptables përdoret për të filtruar paketat e rrjetit.
Imazhet ISO të përgatitura paraprakisht nuk ofrohen. Supozohet se përdoruesi mund të krijojë vetë një imazh me mbushjen e nevojshme (udhëzimet e montimit janë dhënë për Ubuntu 18.04). Ekziston një depo e paketave RPM të para-ndërtuara, të cilat mund t'i përdorni për të ndërtuar imazhet tuaja bazuar në skedarin e konfigurimit. Depoja ofron rreth 3300 paketa. Për shembull, për të ndërtuar një imazh të plotë iso, thjesht ekzekutoni: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo bëni iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /e plotë .json
Menaxheri i sistemit systemd përdoret për të menaxhuar shërbimet dhe për të nisur. Për menaxhimin e paketave, ofrohen menaxherët e paketave RPM dhe DNF (varianti tdnf nga vmWare). Serveri SSH nuk ndizet në heshtje. Për të instaluar shpërndarjen, sigurohet një instalues që mund të funksionojë si në modalitet teksti ashtu edhe në atë grafik. Instaluesi ofron opsionin e instalimit me një grup të plotë ose bazë paketash dhe ofron një ndërfaqe për zgjedhjen e një ndarje të diskut, zgjedhjen e emrit të hostit dhe krijimin e përdoruesve.
Burimi: opennet.ru