Die vrystelling van die Bottlerocket 1.8.0 Linux-verspreiding is gepubliseer, ontwikkel met die deelname van Amazon om geïsoleerde houers effektief en veilig te bestuur. Die gereedskapstel en beheerkomponente van die verspreiding is in Rust geskryf en onder die MIT- en Apache 2.0-lisensies versprei. Dit ondersteun die loop van Bottlerocket op Amazon ECS-, VMware- en AWS EKS Kubernetes-klusters, sowel as die skep van pasgemaakte bouwerk en uitgawes wat voorsiening maak vir verskillende orkestrasie- en looptydnutsgoed vir houers.
Die verspreiding verskaf 'n atomies en outomaties bygewerkte ondeelbare stelselbeeld wat die Linux-kern insluit en 'n minimale stelselomgewing wat slegs die komponente insluit wat nodig is om houers te laat loop. Die omgewing sluit die systemd-stelselbestuurder, die Glibc-biblioteek, die Buildroot-bounutsding, die GRUB-selflaaier, die bose netwerkkonfigureerder, die containerd-geïsoleerde houer-looptyd, die Kubernetes-houerorkestrasieplatform, die aws-iam-authenticator en die Amazon ECS-agent in .
Die houer-orkestrasie-nutsgoed kom in 'n aparte bestuurshouer wat by verstek geaktiveer is en bestuur word deur die API en AWS SSM Agent. Die basisbeeld het nie 'n opdragdop, 'n SSH-bediener en geïnterpreteerde tale nie (byvoorbeeld geen Python of Perl nie) - administratiewe en ontfoutingsnutsgoed word na 'n aparte dienshouer geskuif, wat by verstek gedeaktiveer is.
Die belangrikste verskil van soortgelyke verspreidings soos Fedora CoreOS, CentOS/Red Hat Atomic Host is die primêre fokus op die verskaffing van maksimum sekuriteit in die konteks van die versterking van stelselbeskerming teen moontlike bedreigings, bemoeilik die uitbuiting van kwesbaarhede in OS-komponente en die verhoging van houer-isolasie. Houers word geskep deur die gewone meganismes van die Linux-kern te gebruik - cgroups, namespaces en seccomp. Vir addisionele isolasie gebruik die verspreiding SELinux in die "afdwingende" modus.
Die wortelpartisie word in leesalleen-modus gemonteer, en die partisie met /etc-instellings word in tmpfs gemonteer en na 'n herbegin na sy oorspronklike toestand herstel. Direkte wysiging van lêers in die /etc-gids, soos /etc/resolv.conf en /etc/containerd/config.toml, word nie ondersteun nie - om instellings permanent te stoor, moet jy die API gebruik of die funksionaliteit na aparte houers skuif. Vir kriptografiese verifikasie van die integriteit van die wortelpartisie, word die dm-verity-module gebruik, en as 'n poging om data op die bloktoestelvlak te wysig bespeur word, herlaai die stelsel.
Die meeste stelselkomponente is in Rust geskryf, wat geheue-veilige nutsmiddels verskaf om kwesbaarhede te vermy wat veroorsaak word deur die aanspreek van 'n geheue-area nadat dit vrygestel is, nulwysers af te lei, en bufferoorskryding. Wanneer daar gebou word, word die samestellingmodusse "--enable-default-pie" en "--enable-default-ssp" by verstek gebruik om adresspasie-randomisering van uitvoerbare lêers (PIE) en beskerming teen stapeloorloop deur kanarie-etiketvervanging moontlik te maak. Vir pakkette geskryf in C/C++, is die "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" en "-fstack-clash" vlae addisioneel ingesluit -beskerming.
In die nuwe vrystelling:
- Die inhoud van die administratiewe en beheerhouers is bygewerk.
- Looptyd vir geïsoleerde houers is opgedateer na die containerd 1.6.x-tak.
- Die agtergrondprosesse wat die werk van houers koördineer, word herbegin na veranderinge in die sertifikaatstoor.
- Die vermoë om selflaaiparameters van die kern in te stel deur die Opstartkonfigurasie-afdeling word verskaf.
- Geaktiveer om leë blokke te ignoreer wanneer die integriteit van die wortelpartisie nagegaan word met dm-verity.
- Verskaf die vermoë om gasheername staties te bind in /etc/hosts.
- Die vermoë om 'n netwerkkonfigurasie te genereer met behulp van die netdog-hulpprogram is voorsien (die genereer-net-konfigurasie-opdrag is bygevoeg).
- Nuwe verspreidingsopsies met ondersteuning vir Kubernetes 1.23 word voorgestel. Verminderde opstarttyd vir peule in Kubernetes deur die configMapAndSecretChangeDetectionStrategy-modus te deaktiveer. Bygevoeg nuwe kubelet instellings: verskaffer-ID en podPidsLimit.
- 'n Nuwe 'aws-ecs-1-nvidia'-verspreiding vir Amazon Elastic Container Service (Amazon ECS) is voorgestel en kom met NVIDIA-bestuurders.
- Bygevoeg ondersteuning vir Microchip Smart Storage en MegaRAID SAS stoor toestelle. Uitgebreide ondersteuning vir Ethernet-kaarte gebaseer op Broadcom-skyfies.
- Opgedateerde weergawes van pakkette en afhanklikhede vir Go- en Rust-tale, sowel as weergawes van pakkette met derdeparty-programme. Bottlerocket SDK is opgedateer na weergawe 0.26.0.
Bron: opennet.ru