A liberazione di a distribuzione Linux Bottlerocket 1.8.0 hè stata publicata, sviluppata cù a participazione di Amazon per u lanciu efficace è sicuru di cuntenituri isolati. L'arnesi di distribuzione è i cumpunenti di cuntrollu sò scritti in Rust è distribuiti sottu licenze MIT è Apache 2.0. Supporta l'esecuzione di Bottlerocket in cluster Amazon ECS, VMware è AWS EKS Kubernetes, è ancu di creà custruzzioni è edizioni persunalizati chì permettenu l'usu di diversi strumenti di orchestrazione è runtime per i cuntenituri.
A distribuzione furnisce una maghjina di sistema indivisibule aghjurnata atomicamente è automaticamente chì include u kernel Linux è un ambiente minimu di u sistema, cumprese solu i cumpunenti necessarii per eseguisce cuntenituri. L'ambiente include u gestore di sistema systemd, a libreria Glibc, l'uttellu di creazione Buildroot, u caricatore d'avvio GRUB, u configuratore di rete malvagia, u runtime containerd per i containers isolati, a piattaforma di orchestrazione di container Kubernetes, l'aws-iam-authenticator è l'Amazon. Agente ECS.
I strumenti di orchestrazione di u containeru venenu in un containeru di gestione separatu chì hè attivatu per difettu è gestitu attraversu l'API è AWS SSM Agent. L'imaghjini di basa ùn mancanu una shell di cumanda, un servitore SSH è e lingue interpretate (per esempiu, senza Python o Perl) - l'arnesi amministrativi è i strumenti di debugging sò posti in un containeru di serviziu separatu, chì hè disattivatu per automaticamente.
A diffarenza chjave da distribuzioni simili cum'è Fedora CoreOS, CentOS / Red Hat Atomic Host hè u focus primariu nantu à furnisce a massima sicurezza in u cuntestu di rinfurzà a prutezzione di u sistema da pussibuli minacce, facendu più difficiuli di sfruttà e vulnerabilità in i cumpunenti di u sistema operativu è l'aumentu di l'isolamentu di u containeru. . I cuntenituri sò creati cù i meccanismi standard di u kernel Linux - cgroups, namespaces è seccomp. Per un isolamentu supplementu, a distribuzione usa SELinux in modu "furzendu".
A partizione di a radica hè muntata solu in lettura, è a partizione di paràmetri /etc hè muntata in tmpfs è restaurata à u so statu originale dopu un riavviu. A mudificazione diretta di i fugliali in u cartulare /etc, cum'è /etc/resolv.conf è /etc/containerd/config.toml, ùn hè micca supportatu - per salvà permanentemente i paràmetri, duvete aduprà l'API o move a funziunalità in cuntenituri separati. U modulu dm-verity hè utilizatu per verificà criptograficamente l'integrità di a partizione radicali, è se un tentativu di mudificà e dati à u livellu di u dispositivu di bloccu hè rilevatu, u sistema reboots.
A maiò parte di i cumpunenti di u sistema sò scritti in Rust, chì furnisce funzioni di salvezza di memoria per evità vulnerabilità causate da accessi di memoria dopu senza, dereferences di puntatore nulla, è overruns di buffer. Quandu si custruisce in modu predeterminatu, i modi di compilazione "-enable-default-pie" è "-enable-default-ssp" sò aduprati per attivà a randomizazione di u spaziu di l'indirizzu di u file eseguibile (PIE) è a prutezzione contra i sbocchi di stack through canary substitution. Per i pacchetti scritti in C/C++, i bandieri "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" è "-fstack-clash" sò in più. attivatu - prutezzione ".
In a nova versione:
- Обновлено содержимое административного и управляющего контейнеров.
- Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
- Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
- Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
- Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
- Предоставлена возможность статической привязки имён хостов в /etc/hosts.
- Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
- Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
- Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
- Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
- Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.
Source: opennet.ru