A liberazione di a distribuzione Linux Bottlerocket 1.3.0 hè stata publicata, sviluppata cù a participazione di Amazon per u lanciu efficace è sicuru di cuntenituri isolati. L'arnesi di distribuzione è i cumpunenti di cuntrollu sò scritti in Rust è distribuiti sottu licenze MIT è Apache 2.0. Supporta l'esecuzione di Bottlerocket in cluster Amazon ECS, VMware è AWS EKS Kubernetes, è ancu di creà custruzzioni è edizioni persunalizati chì permettenu l'usu di diversi strumenti di orchestrazione è runtime per i cuntenituri.
A distribuzione furnisce una maghjina di sistema indivisibule aghjurnata atomicamente è automaticamente chì include u kernel Linux è un ambiente minimu di u sistema, cumprese solu i cumpunenti necessarii per eseguisce cuntenituri. L'ambiente include u gestore di sistema systemd, a libreria Glibc, l'uttellu di creazione Buildroot, u caricatore d'avvio GRUB, u configuratore di rete malvagia, u runtime containerd per i containers isolati, a piattaforma di orchestrazione di container Kubernetes, l'aws-iam-authenticator è l'Amazon. Agente ECS.
I strumenti di orchestrazione di u containeru venenu in un containeru di gestione separatu chì hè attivatu per difettu è gestitu attraversu l'API è AWS SSM Agent. L'imaghjini di basa ùn mancanu una shell di cumanda, un servitore SSH è e lingue interpretate (per esempiu, senza Python o Perl) - l'arnesi amministrativi è i strumenti di debugging sò posti in un containeru di serviziu separatu, chì hè disattivatu per automaticamente.
A diffarenza chjave da distribuzioni simili cum'è Fedora CoreOS, CentOS / Red Hat Atomic Host hè u focus primariu nantu à furnisce a massima sicurezza in u cuntestu di rinfurzà a prutezzione di u sistema da pussibuli minacce, facendu più difficiuli di sfruttà e vulnerabilità in i cumpunenti di u sistema operativu è l'aumentu di l'isolamentu di u containeru. . I cuntenituri sò creati cù i meccanismi standard di u kernel Linux - cgroups, namespaces è seccomp. Per un isolamentu supplementu, a distribuzione usa SELinux in modu "furzendu".
A partizione di a radica hè muntata solu in lettura, è a partizione di paràmetri /etc hè muntata in tmpfs è restaurata à u so statu originale dopu un riavviu. A mudificazione diretta di i fugliali in u cartulare /etc, cum'è /etc/resolv.conf è /etc/containerd/config.toml, ùn hè micca supportatu - per salvà permanentemente i paràmetri, duvete aduprà l'API o move a funziunalità in cuntenituri separati. U modulu dm-verity hè utilizatu per verificà criptograficamente l'integrità di a partizione radicali, è se un tentativu di mudificà e dati à u livellu di u dispositivu di bloccu hè rilevatu, u sistema reboots.
A maiò parte di i cumpunenti di u sistema sò scritti in Rust, chì furnisce funzioni di salvezza di memoria per evità vulnerabilità causate da accessi di memoria dopu senza, dereferences di puntatore nulla, è overruns di buffer. Quandu si custruisce in modu predeterminatu, i modi di compilazione "-enable-default-pie" è "-enable-default-ssp" sò aduprati per attivà a randomizazione di u spaziu di l'indirizzu di u file eseguibile (PIE) è a prutezzione contra i sbocchi di stack through canary substitution. Per i pacchetti scritti in C/C++, i bandieri "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" è "-fstack-clash" sò in più. attivatu - prutezzione ".
In a nova versione:
- Vulnerabilità risolte in l'arnesi di docker è runtime containerd (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) ligati à l'impostazione incorrecta di i diritti d'accessu, chì permettenu à l'utilizatori senza privilegi di andà oltre a basa. annuariu è eseguisce prugrammi esterni.
- U supportu IPv6 hè statu aghjuntu à kubelet è pluto.
- Hè pussibule di ripiglià u cuntinuu dopu avè cambiatu i so paràmetri.
- U supportu per l'istanze Amazon EC2 M6i hè statu aghjuntu à u pacchettu eni-max-pods.
- Open-vm-tools hà aghjustatu supportu per i filtri di u dispositivu, basatu annantu à u toolkit Cilium.
- Per a piattaforma x86_64, hè implementatu un modu di boot hibridu (cù supportu per EFI è BIOS).
- Versioni di pacchetti aghjurnati è dipendenze per a lingua Rust.
- U supportu per a variante di distribuzione aws-k8s-1.17 basata in Kubernetes 1.17 hè stata interrotta. Hè cunsigliatu di utilizà a versione aws-k8s-1.21 cù supportu per Kubernetes 1.21. I varianti di k8s utilizanu i paràmetri di cgroup runtime.slice è system.slice.
Source: opennet.ru