Ang pagpagawas sa Linux distribution Bottlerocket 1.7.0 gimantala, naugmad uban sa pag-apil sa Amazon alang sa episyente ug luwas nga paglansad sa nahilit nga mga sudlanan. Ang mga himan sa pag-apod-apod ug mga sangkap sa pagkontrol kay gisulat sa Rust ug giapod-apod ubos sa mga lisensya sa MIT ug Apache 2.0. Gisuportahan niini ang pagpadagan sa Bottlerocket sa Amazon ECS, VMware ug AWS EKS Kubernetes clusters, ingon man ang paghimo og custom nga mga build ug edisyon nga nagtugot sa paggamit sa nagkalain-laing orkestrasyon ug runtime nga mga himan alang sa mga sudlanan.
Ang pag-apod-apod naghatag sa atomiko ug awtomatik nga gi-update nga dili mabahin nga imahe sa sistema nga naglakip sa Linux kernel ug usa ka gamay nga palibot sa sistema, lakip lamang ang mga sangkap nga gikinahanglan sa pagpadagan sa mga sudlanan. Ang palibot naglakip sa systemd system manager, ang Glibc library, ang Buildroot build tool, ang GRUB boot loader, ang daotan nga network configurator, ang containerd runtime para sa nahilit nga mga sudlanan, ang Kubernetes container orchestration platform, ang aws-iam-authenticator, ug ang Amazon ahente sa ECS.
Ang mga himan sa pag-orkestra sa sudlanan moabut sa usa ka bulag nga sudlanan sa pagdumala nga gipagana pinaagi sa default ug gidumala pinaagi sa API ug AWS SSM Agent. Ang base nga imahe kulang sa usa ka command shell, SSH server ug gihubad nga mga pinulongan (pananglitan, walay Python o Perl) - ang mga himan sa administratibo ug mga himan sa pag-debug gibutang sa usa ka bulag nga sudlanan sa serbisyo, nga gibabagan sa default.
Ang yawe nga kalainan gikan sa parehas nga mga pag-apod-apod sama sa Fedora CoreOS, CentOS / Red Hat Atomic Host mao ang panguna nga pokus sa paghatag labing kataas nga seguridad sa konteksto sa pagpalig-on sa proteksyon sa sistema gikan sa posible nga mga hulga, nga labi ka lisud nga pahimuslan ang mga kahuyangan sa mga sangkap sa OS ug pagdugang pagkalainlain sa sulud. . Ang mga sudlanan gihimo gamit ang standard Linux kernel mechanisms - cgroups, namespaces ug seccomp. Alang sa dugang nga pag-inusara, ang pag-apod-apod naggamit sa SELinux sa "pagpatuman" nga mode.
Ang root partition kay gi-mount read-only, ug ang /etc settings partition kay gi-mount sa tmpfs ug gibalik sa iyang orihinal nga kahimtang human sa restart. Ang direkta nga pagbag-o sa mga file sa /etc nga direktoryo, sama sa /etc/resolv.conf ug /etc/containerd/config.toml, dili suportado - aron permanente nga makatipig sa mga setting, kinahanglan nimo nga gamiton ang API o ibalhin ang gamit sa lain nga mga sudlanan. Ang dm-verity module gigamit sa cryptographicly pagmatuod sa integridad sa root partition, ug kon ang usa ka pagsulay sa pag-usab sa data sa block device nga lebel makita, ang sistema reboots.
Kadaghanan sa mga sangkap sa sistema gisulat sa Rust, nga naghatag mga bahin nga luwas sa panumduman aron malikayan ang mga kahuyangan nga gipahinabo sa pagkahuman sa walaβy bayad nga pag-access sa memorya, mga walaβy kapilian nga pointer, ug mga overrun sa buffer. Kung magtukod pinaagi sa default, ang mga mode sa compilation nga "-enable-default-pie" ug "-enable-default-ssp" gigamit aron mahimo ang randomization sa executable file address space (PIE) ug proteksyon batok sa mga stack overflows pinaagi sa canary substitution. Alang sa mga pakete nga gisulat sa C/C++, ang mga bandera nga β-Wallβ, β-Werror=format-securityβ, β-Wp,-D_FORTIFY_SOURCE=2β, β-Wp,-D_GLIBCXX_ASSERTIONSβ ug β-fstack-clashβ dugang pa. gipalihok -proteksyon".
Sa bag-ong pagpagawas:
- ΠΡΠΈ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ΅ RPM-ΠΏΠ°ΠΊΠ΅ΡΠΎΠ² ΠΎΠ±Π΅ΡΠΏΠ΅ΡΠ΅Π½Π° Π³Π΅Π½Π΅ΡΠ°ΡΠΈΠΈ ΡΠΏΠΈΡΠΊΠ° ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌ Π² ΡΠΎΡΠΌΠ°ΡΠ΅ JSON ΠΈ ΠΌΠΎΠ½ΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ Π΅Π³ΠΎ Π² host-ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅Ρ ΠΊΠ°ΠΊ ΡΠ°ΠΉΠ» /var/lib/bottlerocket/inventory/application.json Π΄Π»Ρ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ ΠΎ Π΄ΠΎΡΡΡΠΏΠ½ΡΡ ΠΏΠ°ΠΊΠ΅ΡΠ°Ρ .
- ΠΠ±Π½ΠΎΠ²Π»Π΅Π½Ρ ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅ΡΡ Β«adminΒ» ΠΈ Β«controlΒ».
- ΠΠ±Π½ΠΎΠ²Π»Π΅Π½Ρ Π²Π΅ΡΡΠΈΠΈ ΠΏΠ°ΠΊΠ΅ΡΠΎΠ² ΠΈ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ Π΄Π»Ρ ΡΠ·ΡΠΊΠΎΠ² Go ΠΈ Rust.
- ΠΠ±Π½ΠΎΠ²Π»Π΅Π½Ρ Π²Π΅ΡΡΠΈΠΈ ΠΏΠ°ΠΊΠ΅ΡΠΎΠ² ΡΠΎ ΡΡΠΎΡΠΎΠ½Π½ΠΈΠΌΠΈ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΠ°ΠΌΠΈ.
- Π Π΅ΡΠ΅Π½Ρ ΠΏΡΠΎΠ±Π»Π΅ΠΌΡ Ρ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΠ΅ΠΉ tmpfilesd Π΄Π»Ρ kmod-5.10-nvidia.
- ΠΡΠΈ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠ΅ tuftool ΠΎΠ±Π΅ΡΠΏΠ΅ΡΠ΅Π½Π° ΠΏΡΠΈΠ²ΡΠ·ΠΊΠ° Π²Π΅ΡΡΠΈΠΉ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠ΅ΠΉ.
Source: opennet.ru