Málið hefur verið birt LinuxBottlerocket 1.3.0, dreifing sem þróuð var í samstarfi við Amazon, er hönnuð til að keyra einangraða gáma á skilvirkan og öruggan hátt. Verkfæri og stjórnunarþættir dreifingarinnar eru skrifaðir í Rust og leyfisbundnir samkvæmt MIT og Apache 2.0 leyfum. Bottlerocket keyrir á Amazon ECS, VMware og AWS EKS Kubernetes klösum, og styður einnig sérsniðnar byggingar og útgáfur sem styðja notkun ýmissa gámaútgáfu- og keyrslutækja.
Dreifingin býður upp á atómlega og sjálfvirkt uppfærða ódeilanlega kerfismynd, þar á meðal kjarnann Linux og lágmarks kerfisumhverfi, þar á meðal aðeins þá íhluti sem nauðsynlegir eru til að keyra gáma. Þetta umhverfi inniheldur systemd kerfisstjórann, Glibc bókasafnið, Buildroot byggingarverkfærakeðjuna, GRUB ræsiforritið, Wicked netstillingarforritið, containerd keyrslutíma fyrir einangraða gáma, Kubernetes gámaútfærsluvettvanginn, aws-iam-authenticator auðkenningarforritið og Amazon ECS umboðsmanninn.
Tól fyrir gámastjórnun eru afhent í sérstökum stjórnunargámi, sem er sjálfgefið virkjaður og stjórnað í gegnum API og AWS SSM Agent. Grunnmyndin inniheldur ekki skipanalínu. netþjóni SSH og túlkuð forritunarmál (t.d. ekkert Python eða Perl) - stjórnunar- og kembiforritatól eru staðsett í sérstöku þjónustuíláti, sem er sjálfgefið óvirkt.
Lykilmunurinn frá svipuðum dreifingum eins og Fedora CoreOS er CentOSRed Hat Atomic Host leggur aðallega áherslu á að veita hámarksöryggi með því að auka kerfisvörn gegn hugsanlegum ógnum, flækja misnotkun veikleika í stýrikerfisþáttum og auka einangrun gáma. Gámar eru búnir til með innfæddum kjarnakerfum. Linux — cgroups, nafnrými og seccomp. Til að einangra betur notar dreifingin SELinux í „framfylgdar“ ham.
Rótarsneiðin er sett upp sem skrifvarinn og /etc stillingar skiptingin er sett upp í tmpfs og endurheimt í upprunalegt ástand eftir endurræsingu. Beinar breytingar á skrám í /etc möppunni, eins og /etc/resolv.conf og /etc/containerd/config.toml, eru ekki studdar - til að vista stillingar varanlega verður þú að nota API eða færa virknina í aðskilda ílát. dm-verity einingin er notuð til að sannreyna dulkóðun heilleika rótar skiptingarinnar, og ef tilraun til að breyta gögnum á stigi blokkarbúnaðar uppgötvast endurræsir kerfið sig.
Flestir kerfishlutar eru skrifaðir í Rust, sem býður upp á minnisörugga eiginleika til að forðast veikleika sem stafa af eftirlausum minnisaðgangi, núllbendistilvísunum og yfirkeyrslu biðminni. Þegar verið er að byggja sjálfgefið, eru samantektarstillingarnar "-enable-default-pie" og "-enable-default-ssp" notaðar til að virkja slembival á executable file address space (PIE) og vörn gegn flæði stafla með kanaríútskiptum. Fyrir pakka skrifaða í C/C++ eru fánarnir „-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ og „-fstack-clash“ til viðbótar virkt -vernd".
Í nýju útgáfunni:
- Lagfærði veikleika í Docker og keyrslutíma containerd tólunum (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) sem tengdust rangri stillingu aðgangsréttinda, sem gerði óréttlátum notendum kleift að fara út fyrir grunnskrána og keyra utanaðkomandi forrit.
- Bætt við Kubelet og Plútó IPv6 stuðningur.
- Möguleikinn á að endurræsa ílát eftir að stillingum þess hefur verið breytt hefur verið veittur.
- Pakkinn eni-max-pods hefur verið uppfærður til að styðja Amazon EC2 M6i tilvik.
- open-vm-tools styður nú tækjasíur, byggðar á Cilium verkfærakistunni.
- Fyrir x86_64 kerfið hefur verið útfærður blendingur í ræsingu (með EFI og BIOS stuðningi).
- Uppfærðar pakkaútgáfur og ósjálfstæði fyrir Rust tungumálið.
- Stuðningur við dreifingarútgáfuna aws-k8s-1.17 sem byggir á Kubernetes 1.17 hefur verið hættur. Mælt er með að nota aws-k8s-1.21 útgáfuna, sem styður Kubernetes 1.21. k8s útgáfurnar nota stillingarnar cgroup runtime.slice og system.slice.
Heimild: opennet.ru
