बॉटलरॉकेट 1.2 का विमोचन, पृथक कंटेनरों पर आधारित वितरण

लिनक्स वितरण बॉटलरॉकेट 1.2.0 की रिलीज उपलब्ध है, जिसे पृथक कंटेनरों के कुशल और सुरक्षित लॉन्च के लिए अमेज़ॅन की भागीदारी के साथ विकसित किया गया है। वितरण के उपकरण और नियंत्रण घटक रस्ट में लिखे गए हैं और एमआईटी और अपाचे 2.0 लाइसेंस के तहत वितरित किए गए हैं। यह अमेज़ॅन ईसीएस, वीएमवेयर और एडब्ल्यूएस ईकेएस कुबेरनेट्स क्लस्टर पर बॉटलरॉकेट चलाने का समर्थन करता है, साथ ही कस्टम बिल्ड और संस्करण बनाता है जो कंटेनरों के लिए विभिन्न ऑर्केस्ट्रेशन और रनटाइम टूल के उपयोग की अनुमति देता है।

वितरण परमाणु रूप से और स्वचालित रूप से अद्यतन अविभाज्य प्रणाली छवि प्रदान करता है जिसमें लिनक्स कर्नेल और एक न्यूनतम सिस्टम वातावरण शामिल होता है जिसमें केवल कंटेनर चलाने के लिए आवश्यक घटक शामिल होते हैं। पर्यावरण में सिस्टमड सिस्टम मैनेजर, ग्लिबक लाइब्रेरी, बिल्डरूट बिल्ड टूल, GRUB बूटलोडर, दुष्ट नेटवर्क कॉन्फिगरेटर, कंटेनरड आइसोलेटेड कंटेनर रनटाइम, कुबेरनेट्स कंटेनर ऑर्केस्ट्रेशन प्लेटफॉर्म, aws-iam-Authenticator और Amazon ECS एजेंट शामिल हैं। .

कंटेनर ऑर्केस्ट्रेशन टूल एक अलग प्रबंधन कंटेनर में आते हैं जो डिफ़ॉल्ट रूप से सक्षम होता है और एपीआई और एडब्ल्यूएस एसएसएम एजेंट के माध्यम से प्रबंधित होता है। आधार छवि में एक कमांड शेल, एक SSH सर्वर और व्याख्या की गई भाषाओं (उदाहरण के लिए, कोई पायथन या पर्ल नहीं) का अभाव है - प्रशासनिक और डिबगिंग टूल को एक अलग सर्विस कंटेनर में ले जाया जाता है, जो डिफ़ॉल्ट रूप से अक्षम होता है।

Fedora CoreOS, CentOS/Red Hat Atomic Host जैसे समान वितरणों से मुख्य अंतर संभावित खतरों के खिलाफ सिस्टम सुरक्षा को मजबूत करने, OS घटकों में कमजोरियों के शोषण को जटिल बनाने और कंटेनर अलगाव को बढ़ाने के संदर्भ में अधिकतम सुरक्षा प्रदान करने पर प्राथमिक ध्यान है। लिनक्स कर्नेल के नियमित तंत्र - cgroups, namespaces और seccomp का उपयोग करके कंटेनर बनाए जाते हैं। अतिरिक्त आइसोलेशन के लिए, वितरण "एनफोर्सिंग" मोड में SELinux का उपयोग करता है।

रूट विभाजन केवल-पठन मोड में आरोहित है, और /etc सेटिंग्स वाले विभाजन को tmpfs में आरोहित किया गया है और पुनः आरंभ करने के बाद इसकी मूल स्थिति में पुनर्स्थापित किया गया है। /etc निर्देशिका में फ़ाइलों का प्रत्यक्ष संशोधन, जैसे /etc/resolv.conf और /etc/containerd/config.toml, समर्थित नहीं है - सेटिंग को स्थायी रूप से सहेजने के लिए, आपको API का उपयोग करना चाहिए या कार्यात्मकता को अलग-अलग कंटेनर में ले जाना चाहिए। रूट विभाजन की अखंडता के क्रिप्टोग्राफ़िक सत्यापन के लिए, dm-verity मॉड्यूल का उपयोग किया जाता है, और यदि ब्लॉक डिवाइस स्तर पर डेटा को संशोधित करने का प्रयास किया जाता है, तो सिस्टम रीबूट हो जाता है।

अधिकांश सिस्टम घटक रस्ट में लिखे गए हैं, जो मेमोरी क्षेत्र को मुक्त करने के बाद, अशक्त बिंदुओं को संदर्भित करने और बफर ओवररन के कारण होने वाली कमजोरियों से बचने के लिए मेमोरी-सुरक्षित उपकरण प्रदान करता है। निर्माण करते समय, संकलन मोड "--सक्षम-डिफ़ॉल्ट-पाई" और "--सक्षम-डिफ़ॉल्ट-एसएसपी" का उपयोग डिफ़ॉल्ट रूप से निष्पादन योग्य पता स्थान रैंडमाइजेशन (पीआईई) को सक्षम करने और कैनरी लेबल प्रतिस्थापन के माध्यम से स्टैक ओवरफ्लो के खिलाफ सुरक्षा के लिए किया जाता है। C/C++ में लिखे गए पैकेजों के लिए, "-वॉल", "-वॉरर=फॉर्मेट-सिक्योरिटी", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" और "-फस्टैक-क्लैश" फ्लैग अतिरिक्त रूप से हैं शामिल - सुरक्षा।

नई रिलीज में:

• कंटेनर छवि रजिस्ट्री दर्पणों के लिए समर्थन जोड़ा गया।
• स्व-हस्ताक्षरित प्रमाणपत्रों का उपयोग करने की क्षमता जोड़ी गई।
• होस्टनाम कॉन्फ़िगर करने का विकल्प जोड़ा गया।
• प्रशासनिक कंटेनर का डिफ़ॉल्ट संस्करण अद्यतन कर दिया गया है।
• क्यूबलेट के लिए टोपोलॉजी मैनेजर पॉलिसी और टोपोलॉजी मैनेजर स्कोप सेटिंग्स जोड़ी गईं।
• Zstd एल्गोरिथ्म का उपयोग करके कर्नेल संपीड़न के लिए समर्थन जोड़ा गया।
• वर्चुअल मशीनों को OVA (ओपन वर्चुअलाइजेशन फॉर्मेट) फॉर्मेट में VMware में लोड करने की क्षमता प्रदान की गई है।
• वितरण संस्करण aws-k8s-1.21 को Kubernetes 1.21 के समर्थन के साथ अद्यतन किया गया है। Aws-k8s-1.16 के लिए समर्थन बंद कर दिया गया है।
• रस्ट भाषा के लिए अद्यतन पैकेज संस्करण और निर्भरताएँ।

स्रोत: opennet.ru