微軟發布了 CBL-Mariner 1.0(通用基礎)發行版 Linux Mariner),這是該專案的首個穩定版本。 CBL-Mariner 發行版正在開發成為一個通用的基礎平台。 Linux-用於雲端基礎設施、邊緣系統和各種微軟服務的環境。該專案旨在統一微軟使用的各種環境。 Linux解決方案和簡化的維護 Linux目前,該系統可用於各種用途。該專案的開發成果以 MIT 許可證發布。
此發行版提供了一組標準的基本包,可作為創建在雲端基礎設施和邊緣設備上運行的容器、主機環境和服務內容的通用基礎。 可以透過在 CBL-Mariner 之上添加額外的軟體包來創建更複雜和專業的解決方案,但所有此類系統的基礎保持不變,使維護和更新更加容易。
例如,CBL-Mariner 被用作 WSLg 迷你發行版的基礎,該發行版為運行 GUI 應用程式提供圖形堆疊組件。 Linux 在基於 WSL2 子系統的環境中(Windows 子系統 Linux此發行版的基礎保持不變,擴展功能是透過包含額外的複合軟體包來實現的。 服務器 Weston、XWayland、PulseAudio 和 FreeRDP。
CBL-Mariner 建置系統可讓您基於 SPEC 檔案和原始程式碼產生單獨的 RPM 套件,以及使用 rpm-ostree 工具包產生並原子更新的整體系統映像,而無需拆分為單獨的套件。 因此,支援兩種更新交付模型:透過更新單一套件以及透過重建和更新整個系統映像。 此發行版僅包含最必要的元件,並針對最小記憶體和磁碟空間消耗以及高載入速度進行了最佳化。 該發行版也因包含各種增強安全性的附加機製而引人注目。
本專案採用「預設最高安全性」的設計理念。它提供使用 seccomp 機制過濾系統呼叫、加密磁碟分割區以及使用數位簽章驗證資料包的功能。建置時預設啟用堆疊溢位、緩衝區溢位和字串格式化保護模式(_FORTIFY_SOURCE、-fstack-protector、-Wformat-security、relro)。核心支援的功能也已啟用。 Linux 系統實現了位址空間隨機化模式,並針對涉及符號連結、mmap、/dev/mem 和 /dev/kmem 的攻擊提供了保護機制。包含核心和模組資料段的記憶體區域被設定為唯讀模式,並禁止執行程式碼。系統初始化後,可以選擇停用核心模組載入。系統使用 iptables 進行網路封包過濾。
不提供現成的 ISO 鏡像檔。使用者需自行建立包含必要組件的鏡像檔(已提供組裝說明)。 Ubuntu (4月18日)現已提供一個包含預先建置 RPM 軟體包的倉庫,可用於根據設定檔建立自訂鏡像。該倉庫提供約 3300 個軟體包。例如,要建立完整的 ISO 映像,只需執行以下命令:`git clone https://github.com/microsoft/CBL-Mariner.git` `cd CBL-Mariner/toolkit` `sudo make iso` `REBUILD_TOOLS=y` `REBUD_PACKAGESILn `REBUILD_TOOLS=y` 條件
系統管理器systemd用於管理服務和啟動。 對於套件管理,提供了套件管理器 RPM 和 DNF(來自 vmWare 的 tdnf 變體)。 SSH 伺服器不會靜默啟動。 為了安裝該發行版,提供了一個可以在文字和圖形模式下工作的安裝程式。 安裝程式提供了使用完整或基本軟體包集進行安裝的選項,並提供了用於選擇磁碟分割區、選擇主機名稱和建立使用者的介面。
來源: opennet.ru
