Amazon fyrirtæki fyrsta marktæka útgáfan af sérstakri Linux dreifingu , hannað til að keyra einangruð ílát á skilvirkan og öruggan hátt. Verkfæri og stýrihlutir dreifingarinnar eru skrifaðir í Rust og undir MIT og Apache 2.0 leyfi. Verkefnið er þróað á GitHub og er í boði fyrir meðlimi samfélagsins. Kerfisdreifingarmyndin er búin til fyrir x86_64 og Aarch64 arkitektúra. Stýrikerfið er aðlagað til að keyra á Amazon ECS og AWS EKS Kubernetes klösum. verkfæri til að búa til þínar eigin samsetningar og útgáfur, sem geta notað önnur hljómsveitarverkfæri, kjarna og keyrslutíma fyrir gáma.
Dreifingin veitir Linux kjarnanum og lágmarks kerfisumhverfi, þar á meðal aðeins þá íhluti sem nauðsynlegir eru til að keyra gáma. Meðal pakka sem taka þátt í verkefninu eru kerfisstjóri systemd, Glibc bókasafnið og samsetningarverkfærin
Buildroot, GRUB ræsiforrit, netstillingar , keyrslutími fyrir einangruð ílát , Kubernetes gámaskipunarvettvangur, aws-iam-authenticator og Amazon ECS umboðsmaður.
Dreifingin er uppfærð að frumeinda og er afhent í formi óskiptanlegrar kerfismyndar. Tveimur disksneiðum er úthlutað fyrir kerfið, annað þeirra inniheldur virka kerfið, og uppfærslan er afrituð í annað. Eftir að uppfærslunni hefur verið dreift verður önnur skiptingin virk og í þeirri fyrri, þar til næsta uppfærsla kemur, er fyrri útgáfa kerfisins vistuð sem hægt er að snúa aftur í ef vandamál koma upp. Uppfærslur eru settar upp sjálfkrafa án afskipta stjórnanda.
Lykilmunurinn frá svipuðum dreifingum eins og Fedora CoreOS, CentOS / Red Hat Atomic Host er aðaláherslan á að veita í samhengi við að styrkja kerfisvörn gegn hugsanlegum ógnum, gera það erfiðara að nýta veikleika í OS íhlutum og auka einangrun gáma. Gámar eru búnir til með því að nota staðlaða Linux kjarnakerfi - cgroups, namespaces og seccomp. Fyrir frekari einangrun notar dreifingin SELinux í „framfylgjandi“ ham og einingin er notuð til dulritunar sannprófunar á heilleika rótarskiptingarinnar . Ef tilraun til að breyta gögnum á stigi blokkarbúnaðar greinist endurræsir kerfið.
Rótarsneiðin er sett upp sem skrifvarinn og /etc stillingar skiptingin er sett upp í tmpfs og endurheimt í upprunalegt ástand eftir endurræsingu. Beinar breytingar á skrám í /etc möppunni, eins og /etc/resolv.conf og /etc/containerd/config.toml, eru ekki studdar - til að vista stillingar varanlega verður þú að nota API eða færa virknina í aðskilda ílát.
Flestir kerfishlutar eru skrifaðir í Rust, sem býður upp á minnisörugga eiginleika til að forðast veikleika sem stafa af eftirlausum minnisaðgangi, núllbendistilvísunum og yfirkeyrslu biðminni. Þegar verið er að byggja sjálfgefið eru "--enable-default-pie" og "--enable-default-ssp" söfnunarhamirnir notaðir til að gera slembival á vistfangarými keyranlegra skráa () og stafla yfirfallsvörn í gegnum kanarífuglaskipti.
Fyrir pakka skrifaða í C/C++ eru viðbótarfánar innifalin
"-Wall", "-Werror=format-öryggi", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" og "-fstack-clash-protection".
Gámahljómsveitartæki eru afhent sérstaklega , sem er sjálfgefið virkt og stjórnað með og AWS SSM Agent. Grunnmyndina vantar skipanaskel, SSH netþjón og túlkuð tungumál (til dæmis engin Python eða Perl) - stjórnunarverkfæri og villuleitartæki eru staðsett í , sem er sjálfgefið óvirkt.
Heimild: opennet.ru