Amazon первый значительный выпуск специализированного Linux-fordeling , designet til effektiv og sikker søsætning af isolerede containere. Distributionens værktøjssæt og kontrolkomponenter er skrevet i Rust og under MIT- og Apache 2.0-licenserne. Projektet udvikles på GitHub og er tilgængeligt for deltagelse af repræsentanter fra lokalsamfundet. Billedet til systemimplementering genereres til x86_64- og Aarch64-arkitekturerne. Operativsystemet er tilpasset til at køre i Amazon ECS- og AWS EKS Kubernetes-klynger. værktøjer og til at oprette brugerdefinerede builds og udgaver, der kan bruge andre orkestreringsværktøjer, kerner og runtime-programmer til containere.
Дистрибутив предоставляет ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. Среди задействованных в проекте пакетов отмечаются системный менеджер systemd, библиотека Glibc, сборочный инструментарий
Buildroot, GRUB bootloader, netværkskonfigurator , kørselstid for isolerede containere , Kubernetes containerorkestreringsplatformen, aws-iam-authenticator-authenticatoren og Amazon ECS-agenten.
Fordelingen opdateres atomart og leveres i form af et udeleligt systembillede. Der allokeres to diskpartitioner til systemet, hvoraf den ene indeholder det aktive system, og opdateringen kopieres til den anden. Når opdateringen er installeret, bliver den anden partition aktiv, og den første gemmer den forrige version af systemet, indtil den næste opdatering kommer, som kan rulles tilbage til, hvis der opstår problemer. Opdateringer installeres automatisk uden administratorindgriben.
Den vigtigste forskel fra lignende distributioner som Fedora CoreOS er CentOS/Red Hat Atomic Host является первичная ориентация на обеспечение в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux — cgroups, navnerum og seccomp. For yderligere isolering bruger distributionen SELinux в режиме «enforcing», а для криптографической верификации целостности корневого раздела задействован модуль . Hvis der registreres et forsøg på at ændre data på blokenhedsniveau, genstarter systemet.
Rodpartitionen er monteret i skrivebeskyttet tilstand, og /etc settings-partitionen er monteret på tmpfs og gendannet til sin oprindelige tilstand efter genstart. Direkte ændring af filer i /etc-mappen, såsom /etc/resolv.conf og /etc/containerd/config.toml, understøttes ikke - for at gemme indstillinger permanent skal du bruge API'en eller flytte funktionaliteten til separate containere.
De fleste systemkomponenter er skrevet i Rust, som leverer hukommelsessikkerhedsfunktioner for at undgå sårbarheder forårsaget af adgang til hukommelse, efter den er blevet frigjort, dereferering af nullpointere og bufferoverløb. Standardversionen bruger kompileringstilstandene "--enable-default-pie" og "--enable-default-ssp" til at aktivere randomisering af det eksekverbare adresseområde () og stakoverløbsbeskyttelse via canary-substitution.
For pakker skrevet i C/C++ er der inkluderet yderligere flag
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" og "-fstack-clash-protection".
Containerorkestreringsværktøjer leveres separat , som er aktiveret som standard og styres via og AWS SSM-agent. Basisbilledet mangler en kommandoshell, SSH-server og fortolkede sprog (f.eks. ingen Python eller Perl) - administrationsværktøjerne og fejlfindingsværktøjerne er placeret i , som er deaktiveret som standard.
Kilde: opennet.ru
