Bottlerocket 1.7 väljaanne, isolatsioonikonteineritel põhinev jaotus

On välja antud Linuxi distributsiooni Bottlerocket 1.7.0, mida arendab Amazon, et efektiivselt ja turvaliselt käitada isoleeritud konteine. Distributsiooni tööriistade ja haldustööde komponendid on kirjutatud keeles Rust ning avaldatud litsentside MIT ja Apache 2.0 alusel. Bottlerocket'i toetatakse Amazon ECS, VMware ja AWS EKS Kubernetes klastrites, samuti võimaldab see luua erinevaid koostöid ja väljaandeid, mis toetavad erinevaid orkestreerimise ja konteinerite runtime tööriistu.

Distributsioon pakub atomaarset ja automaatselt uuendatavat osalist süsteemipilti, mis sisaldab Linuxi tuuma ja minimaalset süsteemikeskkonda, sealhulgas ainult konteinerite käitamiseks vajalikke komponente. Keskkonnas on kaasatud süsteemi halduri systemd, Glibc teek, Buildrooti ehitustööriist, GRUB käivitaja, võrgu konfigureerija wicked, isoleeritud konteinerite runtime containerd, konteinerite orkestreerimise platvorm Kubernetes, autentija aws-iam-authenticator ja Amazon ECS agent.

Konteinerite orkestreerimise tööriistad pakutakse eraldi halduskonteineris, mis on vaikimisi sisse lülitatud ja mida juhitakse API ja AWS SSM Agendi kaudu. Baaspildis puudub käsurea liides. server SSH ja tõlgendatavad keelid (nt Python või Perl ei ole saadaval) — administraatori ja silumisvahendid on viidud eraldi teeninduskonteinerisse, mis on vaikimisi välja lülitatud.

Peamine erinevus sarnaste distributsioonide, nagu Fedora CoreOS, CentOS/Red Hat Atomic Host, ees on maksimaalse turvalisuse tagamine, et tugevdada süsteemi kaitset võimalike ohtude eest, raskendada haavatavuste ärakasutamist OPS komponentides ja suurendada konteinerite isolatsiooni. Konteinerid luuakse Linuxi põhimoodulite kaudu — cgroups, nimespacious ja seccomp. Täiendava isolatsiooni saavutamiseks rakendatakse distributsioonis SELinuxi „enforcing” režiimis.

Juurt jagu liidetakse ainult lugemisrežiimis ning seadete jagu /etc liidetakse tmpfs, taastades algse oleku pärast taaskäivitamist. Failide otsene muutmine kataloogis /etc, nagu näiteks /etc/resolv.conf ja /etc/containerd/config.toml, ei ole toetatud — parimate seadete säilitamiseks tuleks kasutada API-d või viia funktsioon eraldi konteineritesse. Juurepartitsiooni terviklikkuse krüptograafiliseks kontrollimiseks kasutatakse moodulit dm-verity, ning andmete muutmise katse korral blokeerib süsteem taaskäivitamise.

Enamik süsteemikomponente on kirjutatud Rusti keeles, mis pakub mäluga ohutut töötlemist, vältides haavatavusi, mis tulenevad mälu vabastamise järgsest juurdepääsust, nullnäidikute de-referentseerimisest ja puhverpiirist väljumisest. Vaikimisi kompileerimise režiimid "--enable-default-pie" ja "--enable-default-ssp" võimaldavad täidesaatvate failide (PIE) aadressiruumi randomiseerimist ja steki ülevoolu kaitset kanaribalipide asendamise kaudu. C/C++ keeles kirjutatud pakettide puhul aktiveeritakse täiendavalt lipud "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ja "-fstack-clash-protection".

Uues väljaandes:

  • RPM-pakettide installimisel genereeritakse programmide nimekiri JSON-formaadis ja monteeritakse host-konteinerisse failina /var/lib/bottlerocket/inventory/application.json, et saada teavet saadaval olevate pakettide kohta.
  • Konteineri «admin» ja «control» versioonid on uuendatud.
  • Go ja Rust keelte pakettide ja sõltuvuste versioonid on uuendatud.
  • Kolmandate osapoolte programmide pakettide versioonid on uuendatud.
  • Probleemid tmpfilesd konfiguratsiooniga kmod-5.10-nvidia osas on lahendatud.
  • Tuftool'i installimisel on tagatud sõltuvuste versioonide sidumine.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster