Amazon пуска Bottlerocket 1.0.0, Linux дистрибуция, базирана на изолирани контейнери

Компания Amazon представени първото значително издание на специална Linux дистрибуция Бутилка 1.0.0, проектиран да управлява изолирани контейнери ефективно и сигурно. Инструментите и контролните компоненти на дистрибуцията са написани на Rust и разпространение под лицензи MIT и Apache 2.0. Проектът се разработва в GitHub и е достъпен за участие от членове на общността. Изображението за внедряване на системата се генерира за x86_64 и Aarch64 архитектури. Операционната система е адаптирана да работи на Amazon ECS и AWS EKS Kubernetes клъстери. Осигурени са инструменти за създаване на ваши собствени сборки и издания, които могат да използват други инструменти за оркестрация, ядра и време за изпълнение за контейнери.

Дистрибуцията предоставя ядрото на Linux и минимална системна среда, включваща само компонентите, необходими за изпълнение на контейнери. Сред пакетите, включени в проекта, са системният мениджър systemd, библиотеката Glibc и инструментите за асемблиране
Buildroot, GRUB буутлоудър, мрежов конфигуратор нечестивите, време за изпълнение за изолирани контейнери контейнер, платформа за оркестриране на контейнери Kubernetes, aws-iam-authenticator и агент на Amazon ECS.

Дистрибуцията се актуализира атомарно и се доставя под формата на неделимо системно изображение. За системата се разпределят два дискови дяла, единият от които съдържа активната система, а актуализацията се копира на втория. След разполагането на актуализацията вторият дял става активен, а в първия, до пристигането на следващата актуализация, се запазва предишната версия на системата, към която можете да се върнете, ако възникнат проблеми. Актуализациите се инсталират автоматично без намеса на администратор.

Ключовата разлика от подобни дистрибуции като Fedora CoreOS, CentOS/Red Hat Atomic Host е основният фокус върху предоставянето максимална сигурност в контекста на укрепване на защитата на системата от възможни заплахи, което прави по-трудно използването на уязвимости в компонентите на операционната система и увеличава изолацията на контейнерите. Контейнерите се създават с помощта на стандартни механизми на ядрото на Linux - cgroups, namespaces и seccomp. За допълнителна изолация дистрибуцията използва SELinux в режим „налагане“, а модулът се използва за криптографска проверка на целостта на основния дял dm-истина. Ако бъде открит опит за промяна на данни на ниво блоково устройство, системата се рестартира.

Основният дял се монтира само за четене, а дялът с настройки /etc се монтира в tmpfs и се възстановява в първоначалното си състояние след рестартиране. Директното модифициране на файлове в директорията /etc, като /etc/resolv.conf и /etc/containerd/config.toml, не се поддържа - за да запазите настройките за постоянно, трябва да използвате API или да преместите функционалността в отделни контейнери.

Повечето системни компоненти са написани на Rust, който осигурява безопасни за паметта функции за избягване на уязвимости, причинени от достъп до памет след освобождаване, дереференции на нулев указател и препълване на буфера. При компилиране по подразбиране се използват режимите на компилиране „--enable-default-pie“ и „--enable-default-ssp“, за да се даде възможност за рандомизиране на адресното пространство на изпълними файлове (PIE) и защита от препълване на стека чрез замяна на canary.
За пакети, написани на C/C++, са включени допълнителни флагове
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" и "-fstack-clash-protection".

Инструментите за оркестриране на контейнери се доставят отделно контролен контейнер, който е активиран по подразбиране и се управлява чрез API и AWS SSM агент. В базовото изображение липсва командна обвивка, SSH сървър и интерпретирани езици (например без Python или Perl) - административни инструменти и инструменти за отстраняване на грешки се намират в отделен сервизен контейнер, който е деактивиран по подразбиране.

Източник: opennet.ru