Numero on julkaistu LinuxBottlerocket 1.3.0, Amazonin kanssa yhteistyössä kehitetty jakelu, on suunniteltu erillisten säilöjen tehokkaaseen ja turvalliseen suorittamiseen. Jakelun työkalut ja ohjauskomponentit on kirjoitettu Rust-kielellä ja lisensoitu MIT- ja Apache 2.0 -lisensseillä. Bottlerocket toimii Amazon ECS-, VMware- ja AWS EKS Kubernetes -klustereissa ja tukee myös mukautettuja koontiversioita ja versioita, jotka tukevat erilaisten säilöorkestrointi- ja ajonaikaisten työkalujen käyttöä.
Jakelu tarjoaa atomisesti ja automaattisesti päivittyvän jakamattoman järjestelmäkuvan, joka sisältää ytimen Linux ja minimaalinen järjestelmäympäristö, joka sisältää vain konttien suorittamiseen tarvittavat komponentit. Tämä ympäristö sisältää systemd-järjestelmänhallinnan, Glibc-kirjaston, Buildroot-koontityökaluketjun, GRUB-käynnistyslataimen, wicked network configuratorin, containerd-ajonaikaisen ympäristön erillisille konteille, Kubernetes-konttien orkestrointialustan, aws-iam-authenticator-todentajan ja Amazon ECS -agentin.
Konttien orkestrointityökalut toimitetaan erillisessä hallintakontissa, joka on oletusarvoisesti käytössä ja jota hallitaan API:n ja AWS SSM Agentin kautta. Peruskuva ei sisällä komentotulkkia. palvelin SSH ja tulkitut kielet (esim. ei Python tai Perl) - hallinta- ja virheenkorjaustyökalut sijaitsevat erillisessä palvelukontissa, joka on oletuksena poistettu käytöstä.
Keskeinen ero vastaaviin jakeluihin, kuten Fedora CoreOS:ään, on CentOSRed Hat Atomic Host keskittyy ensisijaisesti maksimaalisen turvallisuuden tarjoamiseen parantamalla järjestelmän suojausta potentiaalisia uhkia vastaan, vaikeuttamalla käyttöjärjestelmäkomponenttien haavoittuvuuksien hyödyntämistä ja lisäämällä säilöjen eristämistä. Säiliöt luodaan käyttämällä natiiveja kernel-mekanismeja. Linux — cgroups, namespaces ja seccomp. Lisäeristystä varten jakelu käyttää SE:täLinux "valvontatilassa".
Juuriosio asennetaan vain luku -tilassa, ja /etc-asetukset-osio liitetään tmpfs-tiedostoon ja palautetaan alkuperäiseen tilaan uudelleenkäynnistyksen jälkeen. /etc-hakemistossa olevien tiedostojen, kuten /etc/resolv.conf ja /etc/containerd/config.toml, suoraa muokkaamista ei tueta - jos haluat tallentaa asetukset pysyvästi, sinun on käytettävä API:ta tai siirrettävä toiminnallisuus erillisiin säilöihin. Dm-verity-moduulia käytetään juuriosion eheyden salaustarkistukseen, ja jos havaitaan yritys muokata tietoja lohkolaitetasolla, järjestelmä käynnistyy uudelleen.
Useimmat järjestelmäkomponentit on kirjoitettu Rust-kielellä, joka tarjoaa muistia turvallisia ominaisuuksia, joilla vältetään haavoittuvuudet, jotka aiheutuvat vapaan muistin käytön jälkeen, nollaosoittimen viittauksista ja puskurin ylityksistä. Kun rakennetaan oletusarvoisesti, käännöstiloja "-enable-default-pie" ja "-enable-default-ssp" käytetään mahdollistamaan suoritettavan tiedoston osoiteavaruuden (PIE) satunnaistaminen ja suojaus pinon ylivuodoilta kanarian korvaamisen kautta. C/C++-kielellä kirjoitetuissa paketeissa on lisäksi liput "-Wall", "-Worror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ja "-fstack-clash". käytössä -suojaus".
Uudessa julkaisussa:
- Korjattu telakointityökalujen ja ajonaikaisten konttityökalujen (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103, CVE-XNUMX-XNUMX) haavoittuvuudet, jotka liittyvät käyttöoikeuksien virheelliseen asettamiseen, mikä mahdollisti etuoikeutettujen käyttäjien ylittämisen peruskäyttäjät. hakemistoon ja suorittaa ulkoisia ohjelmia.
- Lisätty Kubeletiin ja Plutoon IPv6-tuki.
- Säiliö on mahdollista käynnistää uudelleen sen asetusten muuttamisen jälkeen.
- Tuki Amazon EC2 M6i -esiintymille on lisätty eni-max-pods -pakettiin.
- Open-vm-tools on lisännyt tuen laitesuodattimille, jotka perustuvat Cilium-työkalupakettiin.
- x86_64-alustalle on toteutettu hybridikäynnistystila (EFI- ja BIOS-tuella).
- Päivitetyt pakettiversiot ja riippuvuudet Rust-kielelle.
- Kubernetes 8:ään perustuvan jakeluversion aws-k1.17s-1.17 tuki on lopetettu. On suositeltavaa käyttää aws-k8s-1.21-versiota Kubernetes 1.21 -tuen kanssa. K8s-muunnelmat käyttävät cgroup runtime.slice- ja system.slice-asetuksia.
Lähde: opennet.ru
