Компанія Microsoft опублікувала випуск дистрибутива CBL-Mariner 1.0 (Common Base Linux Mariner), який відзначений як перший стабільний реліз проекту. Дистрибутив CBL-Mariner розвивається як універсальна базова платформа для Linux-оточень, що використовуються в хмарній інфраструктурі, edge-системах і різних сервісах Microsoft. Проект націлений на уніфікацію застосовуваних у Microsoft Linux-рішень та спрощення підтримки Linux-систем різного призначення в актуальному стані. Напрацювання проекту розповсюджуються під ліцензією MIT.
Дистрибутив надає невеликий типовий набір основних пакетів, що є універсальною основою для створення начинки контейнерів, хост-оточень і сервісів, що запускаються в хмарних інфраструктурах і на edge-пристроях. Більш складні та спеціалізовані рішення можуть створюватись шляхом додавання додаткових пакетів поверх CBL-Mariner, але основа для всіх подібних систем залишається незмінною, що спрощує супровід та підготовку оновлень.
Наприклад, CBL-Mariner застосовується як основа міні-дистрибутива WSLg, в якому надаються компоненти графічного стека для організації запуску GUI-додатків Linux в оточеннях на базі підсистеми WSL2 (Windows Subsystem for Linux). Основа даного дистрибутива незмінна, а розширена функціональність реалізується через включення додаткових пакетів із композитним сервером Weston, XWayland, PulseAudio та FreeRDP.
Система складання CBL-Mariner дозволяє генерувати як окремі RPM-пакети на основі SPEC-файлів та вихідних текстів, так і монолітні системні образи, що формуються за допомогою інструментарію rpm-ostree та оновлюються атомарно без розбивки на окремі пакети. Відповідно, підтримується дві моделі доставки оновлень: через оновлення окремих пакетів та через перебудову та оновлення всього системного образу. Дистрибутив включає тільки необхідні компоненти і оптимізований для мінімального споживання пам'яті і дискового простору, а також для високої швидкості завантаження. Дистрибутив також примітний включенням різних додаткових механізмів підвищення захисту.
У проекті застосовується підхід «максимальна безпека за умовчанням». Надається можливість фільтрації системних викликів за допомогою механізму seccomp, шифрування дискових розділів, верифікації пакетів цифрового підпису. На етапі складання за замовчуванням включені режими захисту від переповнення стека, переповнення буфера та проблем з форматуванням рядків (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Активовані режими рандомізації адресного простору, що підтримуються в ядрі Linux, а також механізми захисту від атак, пов'язаних із символічними посиланнями, mmap, /dev/mem і /dev/kmem. Для областей пам'яті, в яких розміщуються сегменти з даними ядра та модулів, встановлено режим лише для читання та заборонено виконання коду. Опціонально доступна можливість заборони завантаження модулів ядра після ініціалізації системи. Для фільтрації мережних пакетів задіяний інструментарій iptables.
Готові образи ISO не надаються. Мається на увазі, що користувач може створити образ з необхідною начинкою (складальні інструкції надані для Ubuntu 18.04). Доступний репозиторій із вже зібраними RPM-пакетами, який можна використовувати для компонування власних образів на основі конфігураційного файлу. У репозиторії запропоновано близько 3300 пакетів. Наприклад, для складання повного iso-образу достатньо виконати: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=. .json
Для управління сервісами та завантаженням застосовується системний менеджер systemd. Для керування пакетами поставляються пакетні менеджери RPM та DNF (варіант tdnf від vmWare). SSH-сервер за замовчуванням не вмикається. Для встановлення дистрибутива надається інсталятор, який може працювати як у текстовому, так і у графічному режимах. В інсталяторі надається можливість встановлення з повним або базовим набором пакетів, пропонується інтерфейс для вибору дискового розділу, вибору імені хоста та створення користувачів.
Джерело: opennet.ru