Liberasyon distribisyon Linux Bottlerocket 1.1.0 disponib, devlope ak patisipasyon Amazon pou lansman efikas ak an sekirite nan resipyan izole. Zouti distribisyon an ak eleman kontwòl yo ekri nan Rust epi distribye anba lisans MIT ak Apache 2.0. Li sipòte kouri Bottlerocket nan Amazon ECS ak AWS EKS Kubernetes grap, osi byen ke kreye bati koutim ak edisyon ki pèmèt itilizasyon divès kalite òkestrasyon ak zouti ègzekutasyon pou resipyan yo.
Distribisyon an bay yon imaj sistèm atomik ak otomatikman mete ajou endivizib ki gen ladan nwayo Linux la ak yon anviwònman sistèm minim, ki gen ladan sèlman eleman ki nesesè pou kouri kontenè yo. Anviwònman an gen ladan manadjè sistèm systemd la, bibliyotèk Glibc, zouti konstriksyon Buildroot, chargeur bòt GRUB, konfigirasyon rezo mechan, tan exekutif containerd pou resipyan izole, platfòm orchestration veso Kubernetes, aws-iam-authenticator, ak Amazon. Ajan ECS.
Zouti orchestrasyon veso yo vini nan yon veso jesyon separe ki aktive pa default epi jere atravè API ak AWS SSM Ajan. Imaj baz la manke yon kokiy lòd, sèvè SSH ak lang entèprete (pa egzanp, pa gen Python oswa Perl) - zouti administratif ak zouti debogaj yo mete nan yon veso sèvis separe, ki se enfim pa default.
Diferans kle ak distribisyon menm jan an tankou Fedora CoreOS, CentOS/Red Hat Atomic Host se prensipal konsantre sou bay maksimòm sekirite nan yon kontèks ranfòse pwoteksyon sistèm kont menas posib, ki fè li pi difisil pou eksplwate frajilite nan konpozan OS ak ogmante izolasyon veso. . Kontenè yo kreye lè l sèvi avèk mekanis nwayo Linux estanda - cgroups, namespaces ak seccomp. Pou plis izolasyon, distribisyon an sèvi ak SELinux nan mòd "ranfòse".
Patisyon rasin lan monte pou lekti sèlman, epi patisyon paramèt /etc la monte nan tmpfs epi retabli nan eta orijinal li apre yon rekòmanse. Modifikasyon dirèk nan dosye ki nan anyè /etc, tankou /etc/resolv.conf ak /etc/containerd/config.toml, pa sipòte - pou konsève pou tout tan, ou dwe itilize API a oswa deplase fonksyonalite a nan resipyan separe. Yo itilize modil dm-verity pou verifye entegrite patisyon rasin nan yon fason kriptografik, epi si yo detekte yon tantativ pou modifye done nan nivo aparèy blòk la, sistèm lan rekòmanse.
Pifò konpozan sistèm yo ekri nan Rust, ki bay karakteristik memwa ki an sekirite pou evite frajilite ki te koze pa aksè memwa apre gratis, dereferans pointeur nil, ak depase tanpon. Lè yo bati pa default, mòd konpilasyon "-enable-default-pie" ak "-enable-default-ssp" yo itilize pou pèmèt randomization nan espas adrès dosye ègzèkutabl (PIE) ak pwoteksyon kont debòde pil atravè sibstitisyon Canary. Pou pakè ki ekri nan C/C++, drapo yo "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ak "-fstack-clash" yo anplis. pèmèt -pwoteksyon".
Nan nouvo lage a:
- Yo te pwopoze de nouvo opsyon distribisyon aws-k8s-1.20 ak vmware-k8s-1.20 ak sipò pou Kubernetes 1.20. Variant sa yo, ansanm ak vèsyon ki ajou aws-ecs-1, sèvi ak nouvo Linux Kernel 5.10 lage. Mòd fèmen pòt la mete sou "entegrite" pa default (kapasite ki pèmèt chanjman yo dwe fè nan nwayo a ap kouri soti nan espas itilizatè yo bloke). Sipò pou variant aws-k8s-1.15 ki baze sou Kubernetes 1.15 sispann.
- Amazon ECS sipòte mòd rezo awsvpc, ki pèmèt ou asiyen koòdone rezo separe ak adrès IP entèn pou chak travay.
- Te ajoute paramèt pou kontwole divès paramèt Kubernetes, tankou QPS, limit pisin, ak kapasite pou konekte ak founisè nwaj ki pa AWS.
- Veso bootstrap la bay restriksyon sou aksè a done itilizatè lè l sèvi avèk SELinux.
- Te ajoute resize2fs sèvis piblik.
Sous: opennet.ru