Пускане на Bottlerocket 1.2, дистрибуция, базирана на изолирани контейнери

Налична е версията на дистрибуцията на Linux Bottlerocket 1.2.0, разработена с участието на Amazon за ефективно и сигурно стартиране на изолирани контейнери. Инструментите и контролните компоненти на дистрибуцията са написани на Rust и се разпространяват под лицензите MIT и Apache 2.0. Той поддържа стартиране на Bottlerocket в Amazon ECS, VMware и AWS EKS Kubernetes клъстери, както и създаване на персонализирани компилации и издания, които позволяват използването на различни инструменти за оркестрация и изпълнение за контейнери.

Дистрибуцията предоставя атомно и автоматично актуализирано неделимо системно изображение, което включва Linux ядрото и минимална системна среда, включително само компонентите, необходими за изпълнение на контейнери. Средата включва системния мениджър systemd, библиотеката Glibc, инструмента за изграждане Buildroot, зареждащото устройство GRUB, злия мрежов конфигуратор, времето за изпълнение на контейнери за изолирани контейнери, платформата за оркестрация на контейнери Kubernetes, aws-iam-authenticator и Amazon ECS агент.

Инструментите за оркестриране на контейнери идват в отделен контейнер за управление, който е активиран по подразбиране и се управлява чрез API и AWS SSM Agent. В базовото изображение липсва командна обвивка, SSH сървър и интерпретирани езици (например без Python или Perl) - административните инструменти и инструментите за отстраняване на грешки са поставени в отделен сервизен контейнер, който е деактивиран по подразбиране.

Ключовата разлика от подобни дистрибуции като Fedora CoreOS, CentOS/Red Hat Atomic Host е основният фокус върху осигуряването на максимална сигурност в контекста на укрепване на защитата на системата от възможни заплахи, което прави по-трудно използването на уязвимости в компонентите на OS и увеличава изолацията на контейнера . Контейнерите се създават с помощта на стандартни механизми на ядрото на Linux - cgroups, namespaces и seccomp. За допълнителна изолация дистрибуцията използва SELinux в режим „налагане“.

Основният дял се монтира само за четене, а дялът с настройки /etc се монтира в tmpfs и се възстановява в първоначалното си състояние след рестартиране. Директното модифициране на файлове в директорията /etc, като /etc/resolv.conf и /etc/containerd/config.toml, не се поддържа - за да запазите настройките за постоянно, трябва да използвате API или да преместите функционалността в отделни контейнери. Модулът dm-verity се използва за криптографска проверка на целостта на основния дял и ако бъде открит опит за промяна на данни на ниво блоково устройство, системата се рестартира.

Повечето системни компоненти са написани на Rust, който осигурява безопасни за паметта функции за избягване на уязвимости, причинени от достъп до памет след освобождаване, дереференции на нулев указател и препълване на буфера. При компилиране по подразбиране се използват режимите на компилация "-enable-default-pie" и "-enable-default-ssp", за да се даде възможност за рандомизиране на адресното пространство на изпълнимия файл (PIE) и защита срещу препълване на стека чрез заместване на canary. За пакети, написани на C/C++, флаговете „-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ и „-fstack-clash“ са допълнително активирана -защита".

В новата версия:

• Добавена е поддръжка за огледални регистри на изображения на контейнери.
• Добавена е възможност за използване на самоподписани сертификати.
• Добавена е опция за конфигуриране на име на хост.
• Стандартната версия на административния контейнер е актуализирана.
• Добавени настройки за topologyManagerPolicy и topologyManagerScope за kubelet.
• Добавена е поддръжка за компресиране на ядрото с помощта на алгоритъма zstd.
• Осигурена е възможност за зареждане на виртуални машини във VMware във формат OVA (Open Virtualization Format).
• Версията за разпространение aws-k8s-1.21 е актуализирана с поддръжка за Kubernetes 1.21. Поддръжката за aws-k8s-1.16 е преустановена.
• Актуализирани версии на пакети и зависимости за езика Rust.

Източник: opennet.ru