Пускане на Bottlerocket 1.7, дистрибуция, базирана на изолирани контейнери

Публикувана е версията на дистрибуцията на Linux Bottlerocket 1.7.0, разработена с участието на Amazon за ефективно и сигурно стартиране на изолирани контейнери. Инструментите и контролните компоненти на дистрибуцията са написани на Rust и се разпространяват под лицензите MIT и Apache 2.0. Той поддържа стартиране на Bottlerocket на Amazon ECS, VMware и AWS EKS Kubernetes клъстери, както и създаване на персонализирани компилации и издания, които позволяват използването на различни инструменти за оркестрация и изпълнение за контейнери.

Дистрибуцията предоставя атомно и автоматично актуализирано неделимо системно изображение, което включва Linux ядрото и минимална системна среда, включително само компонентите, необходими за изпълнение на контейнери. Средата включва системния мениджър systemd, библиотеката Glibc, инструмента за изграждане Buildroot, зареждащото устройство GRUB, злия мрежов конфигуратор, времето за изпълнение на контейнери за изолирани контейнери, платформата за оркестрация на контейнери Kubernetes, aws-iam-authenticator и Amazon ECS агент.

Инструментите за оркестриране на контейнери идват в отделен контейнер за управление, който е активиран по подразбиране и се управлява чрез API и AWS SSM Agent. В базовото изображение липсва командна обвивка, SSH сървър и интерпретирани езици (например без Python или Perl) - административните инструменти и инструментите за отстраняване на грешки са поставени в отделен сервизен контейнер, който е деактивиран по подразбиране.

Ключовата разлика от подобни дистрибуции като Fedora CoreOS, CentOS/Red Hat Atomic Host е основният фокус върху осигуряването на максимална сигурност в контекста на укрепване на защитата на системата от възможни заплахи, което прави по-трудно използването на уязвимости в компонентите на OS и увеличава изолацията на контейнера . Контейнерите се създават с помощта на стандартни механизми на ядрото на Linux - cgroups, namespaces и seccomp. За допълнителна изолация дистрибуцията използва SELinux в режим „налагане“.

Основният дял се монтира само за четене, а дялът с настройки /etc се монтира в tmpfs и се възстановява в първоначалното си състояние след рестартиране. Директното модифициране на файлове в директорията /etc, като /etc/resolv.conf и /etc/containerd/config.toml, не се поддържа - за да запазите настройките за постоянно, трябва да използвате API или да преместите функционалността в отделни контейнери. Модулът dm-verity се използва за криптографска проверка на целостта на основния дял и ако бъде открит опит за промяна на данни на ниво блоково устройство, системата се рестартира.

Повечето системни компоненти са написани на Rust, който осигурява безопасни за паметта функции за избягване на уязвимости, причинени от достъп до памет след освобождаване, дереференции на нулев указател и препълване на буфера. При компилиране по подразбиране се използват режимите на компилация "-enable-default-pie" и "-enable-default-ssp", за да се даде възможност за рандомизиране на адресното пространство на изпълнимия файл (PIE) и защита срещу препълване на стека чрез заместване на canary. За пакети, написани на C/C++, флаговете „-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ и „-fstack-clash“ са допълнително активирана -защита".

В новата версия:

• Когато инсталирате RPM пакети, е възможно да генерирате списък с програми във формат JSON и да го монтирате в контейнера на хоста като файл /var/lib/bottlerocket/inventory/application.json, за да получите информация за наличните пакети.
• Контейнерите „admin“ и „control“ са актуализирани.
• Актуализирани версии на пакети и зависимости за езиците Go и Rust.
• Актуализирани версии на пакети с програми на трети страни.
• Разрешени проблеми с конфигурацията на tmpfilesd за kmod-5.10-nvidia.
• Когато инсталирате tuftool, версиите на зависимостите са свързани.

Източник: opennet.ru