Microsoft har publicerat utgåvan av distributionen CBL-Mariner 1.0 (Common Base Linux Mariner), som är markerad som den första stabila utgåvan av projektet. CBL-Mariner-distributionen utvecklas som en universell basplattform för Linux-miljöer som används i molninfrastruktur, edge-system och olika Microsoft-tjänster. Projektet syftar till att förena Microsoft Linux-lösningar och förenkla underhållet av Linux-system för olika ändamål uppdaterad. Projektets utveckling distribueras under MIT-licensen.
Distributionen tillhandahåller en liten standarduppsättning av baspaket som fungerar som en universell bas för att skapa innehållet i behållare, värdmiljöer och tjänster som körs i molninfrastrukturer och på kantenheter. Mer komplexa och specialiserade lösningar kan skapas genom att lägga till ytterligare paket ovanpå CBL-Mariner, men grunden för alla sådana system förblir densamma, vilket gör underhåll och uppdateringar enklare.
Till exempel används CBL-Mariner som bas för WSLg-minidistributionen, som tillhandahåller grafikstackkomponenter för att köra Linux GUI-applikationer i miljöer baserade på WSL2 (Windows Subsystem for Linux) subsystem. Kärnan i denna distribution är oförändrad, och utökad funktionalitet realiseras genom inkluderingen av ytterligare paket med Weston, XWayland, PulseAudio och FreeRDP kompositservern.
Byggsystemet CBL-Mariner låter dig generera både individuella RPM-paket baserat på SPEC-filer och källkod, såväl som monolitiska systembilder som genereras med hjälp av rpm-ostree-verktygssatsen och uppdateras atomiskt utan att delas upp i separata paket. Följaktligen stöds två uppdateringsleveransmodeller: genom att uppdatera enskilda paket och genom att bygga om och uppdatera hela systembilden. Distributionen innehåller endast de mest nödvändiga komponenterna och är optimerad för minimal minnes- och diskutrymmesförbrukning, samt hög laddningshastighet. Distributionen är också anmärkningsvärd för införandet av olika ytterligare mekanismer för att förbättra säkerheten.
Projektet har ett tillvägagångssätt med "maximal säkerhet som standard". Det är möjligt att filtrera systemanrop med hjälp av seccomp-mekanismen, kryptera diskpartitioner och verifiera paket med en digital signatur. I byggskedet är skydd mot stackspill, buffertspill och strängformateringsproblem aktiverat som standard (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Randomiseringslägen för adressutrymme som stöds i Linux-kärnan är aktiverade, liksom skyddsmekanismer mot symlänksattacker, mmap, /dev/mem och /dev/kmem. Minnesområdena som innehåller segment med kärn- och moduldata är inställda på skrivskyddat läge och kodexekvering är förbjuden. Ett valfritt alternativ är att inaktivera laddning av kärnmoduler efter systeminitiering. iptables verktygslåda används för att filtrera nätverkspaket.
Färdiggjorda ISO-bilder tillhandahålls inte. Det antas att användaren själv kan skapa en bild med nödvändig fyllning (monteringsinstruktioner tillhandahålls för Ubuntu 18.04). Ett arkiv med förbyggda RPM-paket är tillgängligt, som du kan använda för att bygga dina egna bilder baserat på konfigurationsfilen. Förvaret erbjuder cirka 3300 XNUMX paket. Till exempel, för att bygga en fullständig iso-bild, kör bara: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
Systemhanteraren systemd används för att hantera tjänster och starta upp. För pakethantering tillhandahålls pakethanterare RPM och DNF (tdnf-variant från vmWare). SSH-servern slås inte på tyst. För att installera distributionen tillhandahålls ett installationsprogram som kan fungera i både text- och grafiskt läge. Installationsprogrammet ger möjlighet att installera med en fullständig eller grundläggande uppsättning paket, och erbjuder ett gränssnitt för att välja en diskpartition, välja ett värdnamn och skapa användare.
Källa: opennet.ru