Yo pibliye pwoblèm nan LinuxBottlerocket 1.7.0, yon distribisyon devlope an patenarya avèk Amazon, fèt pou fè kontenè izole yo fonksyone avèk efikasite epi an sekirite. Zouti ak konpozan kontwòl distribisyon an ekri nan Rust epi yo gen lisans anba lisans MIT ak Apache 2.0. Bottlerocket fonksyone sou grap Amazon ECS, VMware, ak AWS EKS Kubernetes, epi li sipòte tou vèsyon ak edisyon pèsonalize ki sipòte itilizasyon divès zouti òkestrasyon kontenè ak zouti ekzekisyon.
Distribisyon an bay yon imaj sistèm endivizib ki mete ajou atomikman e otomatikman, ki gen ladan nwayo a. Linux ak yon anviwònman sistèm minimòm, ki gen ladan sèlman konpozan ki nesesè pou fè kontenè yo fonksyone. Anviwònman sa a gen ladan manadjè sistèm systemd la, bibliyotèk Glibc la, chèn zouti konstriksyon Buildroot la, bootloader GRUB la, konfigiratè rezo wicked la, tan ekzekisyon containerd pou kontenè izole yo, platfòm òkestrasyon kontenè Kubernetes la, otantifikatè aws-iam-authenticator la, ak ajan Amazon ECS la.
Zouti òkestrasyon kontenè yo delivre nan yon kontenè jesyon apa, ki aktive pa default epi jere atravè API a ak Ajan AWS SSM. Imaj debaz la pa gen ladan yon shell kòmand. sèvè SSH ak langaj entèprete (pa egzanp, pa gen Python oswa Perl) - zouti administrasyon ak debogaj yo sitiye nan yon veso sèvis apa, ki enfim pa default.
Diferans prensipal la ak distribisyon menm jan an tankou Fedora CoreOS se CentOSRed Hat Atomic Host konsantre prensipalman sou bay maksimòm sekirite lè li amelyore pwoteksyon sistèm kont menas potansyèl yo, konplike eksplwatasyon vilnerabilite nan konpozan sistèm operasyon an, epi ogmante izolasyon kontenè yo. Kontenè yo kreye lè l sèvi avèk mekanis nwayo natif natal yo. Linux â gwoup c, espas non, ak seccomp. Pou plis izolasyon, distribisyon an itilize SELinux nan mòd "aplikasyon".
Patisyon rasin lan monte pou lekti sèlman, epi patisyon paramèt /etc la monte nan tmpfs epi retabli nan eta orijinal li apre yon rekòmanse. Modifikasyon dirèk nan dosye ki nan anyè /etc, tankou /etc/resolv.conf ak /etc/containerd/config.toml, pa sipòte - pou konsève pou tout tan, ou dwe itilize API a oswa deplase fonksyonalite a nan resipyan separe. Yo itilize modil dm-verity pou verifye entegrite patisyon rasin nan yon fason kriptografik, epi si yo detekte yon tantativ pou modifye done nan nivo aparèy blòk la, sistèm lan rekòmanse.
Pifò konpozan sistèm yo ekri nan Rust, ki bay karakteristik memwa ki an sekirite pou evite frajilite ki te koze pa aksè memwa apre gratis, dereferans pointeur nil, ak depase tanpon. Lè yo bati pa default, mòd konpilasyon "-enable-default-pie" ak "-enable-default-ssp" yo itilize pou pèmèt randomization nan espas adrès dosye ègzèkutabl (PIE) ak pwoteksyon kont debòde pil atravè sibstitisyon Canary. Pou pakè ki ekri nan C/C++, drapo yo "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ak "-fstack-clash" yo anplis. pèmèt -pwoteksyon".
Nan nouvo lage a:
- Lè w ap enstale pakè RPM, li posib pou jenere yon lis pwogram nan fòma JSON epi monte li nan veso lame a kòm dosye /var/lib/bottlerocket/inventory/application.json pou jwenn enfòmasyon sou pakè ki disponib yo.
- Kontenè "admin" ak "kontwòl" yo te mete ajou.
- Mizajou vèsyon pake ak depandans pou lang Go ak Rust.
- Mizajou vèsyon pakè ak pwogram twazyèm pati.
- Pwoblèm konfigirasyon tmpfilesd rezoud pou kmod-5.10-nvidia.
- Lè w ap enstale tuftool, vèsyon depandans yo lye.
Sous: opennet.ru
