Alea argitaratu da LinuxBottlerocket 1.7.0, Amazonekin lankidetzan garatutako banaketa bat, edukiontzi isolatuak modu eraginkor eta seguruan exekutatzeko diseinatuta dago. Banaketaren tresnak eta kontrol osagaiak Rust-en idatzita daude eta MIT eta Apache 2.0 lizentzien pean lizentziatuta daude. Bottlerocket Amazon ECS, VMware eta AWS EKS Kubernetes klusterretan exekutatzen da, eta hainbat edukiontzi orkestrazio eta exekuzio tresna erabiltzea onartzen duten eraikuntza eta edizio pertsonalizatuak ere onartzen ditu.
Banaketak sistemaren irudi zatiezina eta atomikoki eta automatikoki eguneratzen da, nukleoa barne. Linux eta sistema-ingurune minimo bat, edukiontziak exekutatzeko beharrezkoak diren osagaiak soilik barne hartzen dituena. Ingurune honek honako hauek barne hartzen ditu: systemd sistema-kudeatzailea, Glibc liburutegia, Buildroot eraikuntza-tresna-katea, GRUB abio-kargatzailea, wicked sare-konfiguratzailea, edukiontzi isolatuetarako containerd exekuzio-denbora, Kubernetes edukiontzien orkestrazio-plataforma, aws-iam-authenticator autentifikatzailea eta Amazon ECS agentea.
Edukiontzien orkestrazio tresnak kudeaketa-edukiontzi bereizi batean banatzen dira, lehenespenez gaituta dagoena eta APIaren eta AWS SSM agentearen bidez kudeatzen dena. Oinarrizko irudiak ez du komando-shell bat barne hartzen. zerbitzaria SSH eta interpretatutako hizkuntzak (adibidez, Python edo Perl gabe) - administrazio eta arazketa tresnak zerbitzu-edukiontzi bereizi batean daude, eta lehenespenez desgaituta dago.
Fedora CoreOS bezalako antzeko banaketekiko desberdintasun nagusia hauxe da: CentOSRed Hat Atomic Host-ek segurtasun maximoa eskaintzera bideratuta dago batez ere, sistemaren babesa mehatxu potentzialen aurka hobetuz, sistema eragilearen osagaien ahultasunak ustiatzea zailduz eta edukiontzien isolamendua handituz. Edukiontziak kernelaren mekanismo natiboak erabiliz sortzen dira. Linux — cgroup-ak, izen-espazioak eta seccomp. Isolamendu gehigarrirako, banaketak SE erabiltzen duLinux "betearazte" moduan.
Erro-partizioa irakurtzeko soilik muntatzen da, eta /etc settings partizioa tmpfs-en muntatzen da eta berrabiarazi ondoren jatorrizko egoerara berrezartzen da. /etc direktorioko fitxategiak zuzenean aldatzea, hala nola /etc/resolv.conf eta /etc/containerd/config.toml, ez da onartzen; ezarpenak betiko gordetzeko, APIa erabili behar duzu edo funtzionalitatea edukiontzi bereizietara eraman behar duzu. dm-verity modulua erro-partizioaren osotasuna kriptografikoki egiaztatzeko erabiltzen da, eta bloke gailu mailan datuak aldatzeko saiakera bat hautematen bada, sistema berrabiarazi egiten da.
Sistemaren osagai gehienak Rust-en idatzita daude, eta horrek memoriarako seguruak diren funtzioak eskaintzen ditu, memoria librearen ondorengo sarbideek, erakusle nuluen deserreferentziak eta buffer gainditzeak eragindako ahultasunak saihesteko. Lehenespenez eraikitzen denean, "-enable-default-pie" eta "-enable-default-ssp" konpilazio moduak erabiltzen dira fitxategi exekutagarriaren helbide-espazioa (PIE) ausazko aukeratzeko eta pila-gainetik babesteko kanariar ordezkapenaren bidez. C/C++-n idatzitako paketeetarako, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" eta "-fstack-clash" markak ere badira. gaituta - babesa".
Argitalpen berrian:
- RPM paketeak instalatzean, programen zerrenda bat sortzen da JSON formatuan eta ostalari-edukiontzian muntatzen da /var/lib/bottlerocket/inventory/application.json fitxategi gisa, eskuragarri dauden paketeei buruzko informazioa lortzeko.
- "Admin" eta "Control" edukiontziak eguneratu dira.
- Go eta Rust-erako paketeen bertsioak eta mendekotasunak eguneratuta.
- Hirugarrenen programekin paketeen bertsio eguneratuak.
- Konpondu dira kmod-5.10-nvidiarako tmpfilesd konfigurazio arazoak.
- Tuftool instalatzean, menpekotasun bertsioak lotuta daude.
Iturria: opennet.ru
