Microsoft опублікувала перший стабільний реліз Common Base Linux Mariner
Microsoft опублікувала перший стабільний випуск Common Base Linux Mariner
Microsoft опублікувала реліз дистрибутива CBL-Mariner 1.0 (Common Base Linux Mariner), який відзначений як перший стабільний реліз проекту. Дистрибутив CBL-Mariner розвивається як універсальна базова платформа для середовищ Linux, що використовуються в хмарній інфраструктурі, периферійних системах і різних сервісах Microsoft. Проект спрямований на уніфікацію рішень, що використовуються в Microsoft Linux і спрощення обслуговування Linux-систем різного призначення в сучасному стані. Розробки проекту поширюються за ліцензією Массачусетського технологічного інституту.
Дистрибутив надає невеликий стандартний набір основних пакетів, які служать універсальною основою для створення начинки контейнерів, хост-середовищ і сервісів, які працюють в хмарних інфраструктурах і на периферійних пристроях. Більш складні і спеціалізовані рішення можна створити, додавши додаткові пакети поверх CBL-Mariner, але основа для всіх таких систем залишається незмінною, що спрощує обслуговування і підготовку оновлень.
Наприклад, CBL-Mariner використовується в якості основи міні-дистрибутива WSLg , який надає компоненти графічного стека для організації запуску додатків графічного інтерфейсу Linux в середовищах на основі підсистеми WSL2 (Підсистема Windows для Linux). Основа цього дистрибутива незмінна, а розширений функціонал реалізується за рахунок включення додаткових пакетів з композитним сервером Weston, XWayland, PulseAudio і FreeRDP.
Система збірки CBL-Mariner дозволяє генерувати як окремі пакети RPM на основі SPEC-файлів і джерел, так і монолітні образи системи, що генеруються за допомогою інструментарію rpm-ostree і оновлюються атомно без розщеплення на окремі пакети. Відповідно, підтримуються дві моделі доставки оновлень: через оновлення окремих пакетів і через перебудову і оновлення всього образу системи. Дистрибутив включає в себе тільки найнеобхідніші компоненти і оптимізований для мінімального споживання пам'яті і дискового простору, а також для високих швидкостей завантаження. Дистрибутив також примітний включенням різних додаткових механізмів для підвищення захисту.
У проекті використовується підхід «максимальна безпека за замовчуванням». Можлива фільтрація системних викликів за допомогою механізму seccomp, шифрування розділів диска, перевірка пакетів за допомогою цифрового підпису. Під час побудови за замовчуванням увімкнено переповнення стека, переповнення буфера та проблеми з форматуванням рядків (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Активовані режими рандомізації адресного простору, підтримувані в ядрі Linux, а також механізми захисту від атак, пов'язаних з символічними посиланнями, mmap, /dev/mem і /dev/kmem. Області пам'яті, в яких розміщуються сегменти, що містять дані ядра і модуля, налаштовані тільки для читання, а виконання коду заборонено. За бажанням можна заборонити завантаження модулів ядра після ініціалізації системи. Для фільтрації мережевих пакетів використовується інструментарій iptables.
Готові образи ISO не надаються. Мається на увазі, що користувач може сам створити образ з необхідною начинкою (інструкція по збірці передбачена для Ubuntu 18.04). Доступний репозиторій з уже вбудованими пакетами RPM, який можна використовувати для створення власних зображень з конфігураційного файлу. Репозиторій пропонує близько 3300 пакетів. Наприклад, щоб побудувати повний образ iso, досить запустити:
git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs/full.json
Системний системний менеджер використовується для управління службами і завантаження. Rpm і DNF (варіант tdnf від vmWare) передбачені для управління пакетами. SSH-сервер за замовчуванням не ввімкнуто. Для установки дистрибутива передбачений інсталятор, який може працювати як в текстовому, так і в графічному режимах. Установник надає можливість установки з повним або базовим набором пакетів, пропонує інтерфейс для вибору розділу диска, вибору імені хоста і створення користувачів.
