Amazone
La distribution fournit un noyau Linux et un environnement système minimal qui inclut uniquement les composants nécessaires à l'exécution des conteneurs. Parmi les packages impliqués dans le projet, le gestionnaire de système systemd, la bibliothèque Glibc et la boîte à outils d'assemblage sont notés
Buildroot, chargeur de démarrage GRUB, configurateur réseau
La distribution est mise à niveau de manière atomique et est livrée sous la forme d'une image système indivisible. Deux partitions de disque sont allouées au système, dont l'une contient le système actif, et la mise à jour est copiée sur la seconde. Une fois la mise à jour déployée, la deuxième partition devient active et dans la première, jusqu'à l'arrivée de la prochaine mise à jour, la version précédente du système est enregistrée, sur laquelle, en cas de problème, vous pouvez revenir en arrière. Les mises à jour sont installées automatiquement sans intervention de l'administrateur.
Une différence clé par rapport aux distributions similaires telles que Fedora CoreOS, CentOS/Red Hat Atomic Host est l'objectif principal de fournir
La partition racine est montée en mode lecture seule et la partition avec les paramètres /etc est montée dans tmpfs et restaurée à son état d'origine après un redémarrage. La modification directe des fichiers dans le répertoire /etc, tels que /etc/resolv.conf et /etc/containerd/config.toml, n'est pas prise en charge - pour enregistrer définitivement les paramètres, vous devez utiliser l'API ou déplacer la fonctionnalité vers des conteneurs séparés.
La plupart des composants système sont écrits en Rust, qui fournit des outils sécurisés en mémoire pour éviter les vulnérabilités causées par l'adressage d'une zone mémoire après sa libération, le déréférencement des pointeurs nuls et les dépassements de mémoire tampon. Lors de la construction par défaut, les modes de compilation "--enable-default-pie" et "--enable-default-ssp" sont utilisés pour activer la randomisation de l'espace d'adressage des fichiers exécutables (
Pour les packages écrits en C/C++, des indicateurs supplémentaires sont inclus
"-Wall", "-Werror=format-security", "-Wp, -D_FORTIFY_SOURCE=2", "-Wp, -D_GLIBCXX_ASSERTIONS" et "-fstack-clash-protection".
Les outils d'orchestration de conteneurs sont fournis dans un
Source: opennet.ru