Yo te pibliye liberasyon distribisyon Linux Bottlerocket 1.3.0, devlope ak patisipasyon Amazon pou lansman efikas ak an sekirite nan resipyan izole. Zouti distribisyon an ak eleman kontwòl yo ekri nan Rust epi distribye anba lisans MIT ak Apache 2.0. Li sipòte kouri Bottlerocket sou Amazon ECS, VMware ak AWS EKS Kubernetes grap, osi byen ke kreye bati koutim ak edisyon ki pèmèt itilizasyon divès kalite òkestrasyon ak zouti ègzekutasyon pou resipyan yo.
Distribisyon an bay yon imaj sistèm atomik ak otomatikman mete ajou endivizib ki gen ladan nwayo Linux la ak yon anviwònman sistèm minim, ki gen ladan sèlman eleman ki nesesè pou kouri kontenè yo. Anviwònman an gen ladan manadjè sistèm systemd la, bibliyotèk Glibc, zouti konstriksyon Buildroot, chargeur bòt GRUB, konfigirasyon rezo mechan, tan exekutif containerd pou resipyan izole, platfòm orchestration veso Kubernetes, aws-iam-authenticator, ak Amazon. Ajan ECS.
Zouti orchestrasyon veso yo vini nan yon veso jesyon separe ki aktive pa default epi jere atravè API ak AWS SSM Ajan. Imaj baz la manke yon kokiy lòd, sèvè SSH ak lang entèprete (pa egzanp, pa gen Python oswa Perl) - zouti administratif ak zouti debogaj yo mete nan yon veso sèvis separe, ki se enfim pa default.
Diferans kle ak distribisyon menm jan an tankou Fedora CoreOS, CentOS/Red Hat Atomic Host se prensipal konsantre sou bay maksimòm sekirite nan yon kontèks ranfòse pwoteksyon sistèm kont menas posib, ki fè li pi difisil pou eksplwate frajilite nan konpozan OS ak ogmante izolasyon veso. . Kontenè yo kreye lè l sèvi avèk mekanis nwayo Linux estanda - cgroups, namespaces ak seccomp. Pou plis izolasyon, distribisyon an sèvi ak SELinux nan mòd "ranfòse".
Patisyon rasin lan monte pou lekti sèlman, epi patisyon paramèt /etc la monte nan tmpfs epi retabli nan eta orijinal li apre yon rekòmanse. Modifikasyon dirèk nan dosye ki nan anyè /etc, tankou /etc/resolv.conf ak /etc/containerd/config.toml, pa sipòte - pou konsève pou tout tan, ou dwe itilize API a oswa deplase fonksyonalite a nan resipyan separe. Yo itilize modil dm-verity pou verifye entegrite patisyon rasin nan yon fason kriptografik, epi si yo detekte yon tantativ pou modifye done nan nivo aparèy blòk la, sistèm lan rekòmanse.
Pifò konpozan sistèm yo ekri nan Rust, ki bay karakteristik memwa ki an sekirite pou evite frajilite ki te koze pa aksè memwa apre gratis, dereferans pointeur nil, ak depase tanpon. Lè yo bati pa default, mòd konpilasyon "-enable-default-pie" ak "-enable-default-ssp" yo itilize pou pèmèt randomization nan espas adrès dosye ègzèkutabl (PIE) ak pwoteksyon kont debòde pil atravè sibstitisyon Canary. Pou pakè ki ekri nan C/C++, drapo yo "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ak "-fstack-clash" yo anplis. pèmèt -pwoteksyon".
Nan nouvo lage a:
- Te fikse vilnerabilite nan docker ak zouti kontenè egzekite (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) ki gen rapò ak move anviwònman dwa aksè, ki te pèmèt itilizatè ki pa gen privilèj ale pi lwen pase baz la. anyè epi egzekite pwogram ekstèn yo.
- Yo te ajoute sipò IPv6 nan kubelet ak pluto.
- Li posib pou rekòmanse veso a apre chanje paramèt li yo.
- Sipò pou ka Amazon EC2 M6i te ajoute nan pake eni-max-pods la.
- Open-vm-tools te ajoute sipò pou filtè aparèy, ki baze sou zouti Cilium la.
- Pou platfòm la x86_64, yon mòd ibrid bòt aplike (ak sipò pou EFI ak BIOS).
- Mizajou vèsyon pake ak depandans pou lang Rust la.
- Sipò pou varyant distribisyon aws-k8s-1.17 ki baze sou Kubernetes 1.17 sispann. Li rekòmande pou itilize vèsyon aws-k8s-1.21 ak sipò pou Kubernetes 1.21. Variant k8s yo itilize paramèt cgroup runtime.slice ak system.slice.
Sous: opennet.ru