ProHoster > Blog > balita sa internet > Pagpagawas sa Bottlerocket 1.2, usa ka pag-apod-apod base sa nahilit nga mga sudlanan

Pagpagawas sa Bottlerocket 1.2, usa ka pag-apod-apod base sa nahilit nga mga sudlanan

ДоступСн выпуск Linux-дистрибутива Bottlerocket 1.2.0, Ρ€Π°Π·Π²ΠΈΠ²Π°Π΅ΠΌΠΎΠ³ΠΎ ΠΏΡ€ΠΈ участии ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Amazon для эффСктивного ΠΈ бСзопасного запуска ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ². Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ ΠΈ ΡƒΠΏΡ€Π°Π²Π»ΡΡŽΡ‰ΠΈΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹ дистрибутива написаны Π½Π° языкС Rust ΠΈ Ρ€Π°ΡΠΏΡ€ΠΎΡΡ‚Ρ€Π°Π½ΡΡŽΡ‚ΡΡ ΠΏΠΎΠ΄ лицСнзиями MIT ΠΈ Apache 2.0. ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ΡΡ запуск Bottlerocket Π² кластСрах Amazon ECS, VMware ΠΈ AWS EKS Kubernetes, Π° Ρ‚Π°ΠΊΠΆΠ΅ созданиС ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹Ρ… сборок ΠΈ Ρ€Π΅Π΄Π°ΠΊΡ†ΠΈΠΉ, Π΄ΠΎΠΏΡƒΡΠΊΠ°ΡŽΡ‰ΠΈΡ… ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… инструмСнтов оркСстровки ΠΈ runtime для ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ².

Дистрибутив прСдоставляСт Π°Ρ‚ΠΎΠΌΠ°Ρ€Π½ΠΎ ΠΈ автоматичСски обновляСмый Π½Π΅Π΄Π΅Π»ΠΈΠΌΡ‹ΠΉ систСмный ΠΎΠ±Ρ€Π°Π·, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠΉ ядро Linux ΠΈ минимальноС систСмноС ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠ΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ для запуска ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ². Π’ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠΈ задСйствованы систСмный ΠΌΠ΅Π½Π΅Π΄ΠΆΠ΅Ρ€ systemd, Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° Glibc, сборочный инструмСнтарий Buildroot, Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ GRUB, ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ‚ΠΎΡ€ сСти wicked, runtime для ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² containerd, ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ° оркСстровки ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² Kubernetes, Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ aws-iam-authenticator ΠΈ Π°Π³Π΅Π½Ρ‚ Amazon ECS.

Ang mga himan sa pag-orkestra sa sudlanan moabut sa usa ka bulag nga sudlanan sa pagdumala nga gipagana pinaagi sa default ug gidumala pinaagi sa API ug AWS SSM Agent. Ang base nga imahe kulang sa usa ka command shell, SSH server ug gihubad nga mga pinulongan (pananglitan, walay Python o Perl) - ang mga himan sa administratibo ug mga himan sa pag-debug gibutang sa usa ka bulag nga sudlanan sa serbisyo, nga gibabagan sa default.

ΠšΠ»ΡŽΡ‡Π΅Π²Ρ‹ΠΌ ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ΠΌ ΠΎΡ‚ ΠΏΠΎΡ…ΠΎΠΆΠΈΡ… дистрибутивов, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ Fedora CoreOS, CentOS/Red Hat Atomic Host являСтся пСрвичная ориСнтация Π½Π° прСдоставлСниС максимальной бСзопасности Π² контСкстС усилСния Π·Π°Ρ‰ΠΈΡ‚Ρ‹ систСмы ΠΎΡ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Ρ… ΡƒΠ³Ρ€ΠΎΠ·, услоТнСния эксплуатации уязвимостСй Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°Ρ… ОБ ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ изоляции ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ². ΠšΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹ ΡΠΎΠ·Π΄Π°ΡŽΡ‚ΡΡ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ ΡˆΡ‚Π°Ρ‚Π½Ρ‹Ρ… ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² ядра Linux β€” cgroups, пространств ΠΈΠΌΡ‘Π½ ΠΈ seccomp. Для Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ изоляции Π² дистрибутивС примСняСтся SELinux Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ Β«enforcingΒ».

Ang root partition kay gi-mount read-only, ug ang /etc settings partition kay gi-mount sa tmpfs ug gibalik sa iyang orihinal nga kahimtang human sa restart. Ang direkta nga pagbag-o sa mga file sa /etc nga direktoryo, sama sa /etc/resolv.conf ug /etc/containerd/config.toml, dili suportado - aron permanente nga makatipig sa mga setting, kinahanglan nimo nga gamiton ang API o ibalhin ang gamit sa lain nga mga sudlanan. Ang dm-verity module gigamit sa cryptographicly pagmatuod sa integridad sa root partition, ug kon ang usa ka pagsulay sa pag-usab sa data sa block device nga lebel makita, ang sistema reboots.

Kadaghanan sa mga sangkap sa sistema gisulat sa Rust, nga naghatag mga bahin nga luwas sa panumduman aron malikayan ang mga kahuyangan nga gipahinabo sa pagkahuman sa wala’y bayad nga pag-access sa memorya, mga wala’y kapilian nga pointer, ug mga overrun sa buffer. Kung magtukod pinaagi sa default, ang mga mode sa compilation nga "-enable-default-pie" ug "-enable-default-ssp" gigamit aron mahimo ang randomization sa executable file address space (PIE) ug proteksyon batok sa mga stack overflows pinaagi sa canary substitution. Alang sa mga pakete nga gisulat sa C/C++, ang mga bandera nga β€œ-Wall”, β€œ-Werror=format-security”, β€œ-Wp,-D_FORTIFY_SOURCE=2”, β€œ-Wp,-D_GLIBCXX_ASSERTIONS” ug β€œ-fstack-clash” dugang pa. gipalihok -proteksyon".

Sa bag-ong pagpagawas:

  • Gidugang nga suporta alang sa mga salamin sa rehistro sa imahe sa sulud.
  • Gidugang ang abilidad sa paggamit sa mga sertipiko nga gipirmahan sa kaugalingon.
  • Gidugang nga kapilian aron ma-configure ang hostname.
  • Ang default nga bersyon sa administratibong sudlanan gi-update.
  • Gidugang ang topologyManagerPolicy ug topologyManagerScope settings para sa kubelet.
  • Gidugang nga suporta alang sa kernel compression gamit ang zstd algorithm.
  • Ang kapabilidad sa pag-boot sa VMware anaa na karon. virtual nga mga makina sa OVA (Open Virtualization Format) nga pormat.
  • Ang bersyon sa pag-apod-apod nga aws-k8s-1.21 gi-update nga adunay suporta alang sa Kubernetes 1.21. Ang suporta alang sa aws-k8s-1.16 gihunong na.
  • Gi-update nga mga bersyon sa pakete ug mga dependency alang sa Rust nga pinulongan.

Source: opennet.ru

Pagpalit kasaligan nga pag-host alang sa mga site nga adunay proteksyon sa DDoS, mga server sa VPS VDS πŸ”₯ Pagpalit og kasaligang website hosting nga adunay proteksyon sa DDoS, VPS VDS servers | ProHoster