אמזון מפרסמת את Bottlerocket 1.0.0, הפצת לינוקס המבוססת על קונטיינרים מבודדים

חברת אמזון מוצג מהדורה משמעותית ראשונה של הפצת לינוקס ייעודית בקבוק בקבוק 1.0.0, שנועד להפעיל מכולות מבודדות ביעילות ובבטחה. הכלים ורכיבי הבקרה של ההפצה כתובים ב- Rust ו התפשטות תחת רישיונות MIT ו- Apache 2.0. הפרויקט מפותח ב-GitHub וזמין להשתתפות חברי הקהילה. תמונת פריסת המערכת נוצרת עבור ארכיטקטורות x86_64 ו-Aarch64. מערכת ההפעלה מותאמת לרוץ על אשכולות Amazon ECS ו-AWS EKS Kubernetes. מסופקים כלים ליצירת אסמבלים ומהדורות משלך, שיכולים להשתמש בכלי תזמור אחרים, גרעינים וזמן ריצה עבור קונטיינרים.

ההפצה מספקת את ליבת לינוקס וסביבת מערכת מינימלית, הכוללת רק את הרכיבים הדרושים להפעלת קונטיינרים. בין החבילות המעורבות בפרויקט ניתן למנות את systemd manager systemd, ספריית Glibc וכלי ההרכבה
Buildroot, טוען אתחול GRUB, תצורת רשת רשע, זמן ריצה עבור מיכלים מבודדים מכיל, פלטפורמת תזמור מכולות Kubernetes, aws-iam-authenticator וסוכן אמזון ECS.

ההפצה מתעדכנת מבחינה אטומית ומועברת בצורה של תמונת מערכת בלתי ניתנת לחלוקה. למערכת מוקצות שתי מחיצות דיסק, אחת מהן מכילה את המערכת הפעילה, והעדכון מועתק לשנייה. לאחר פריסת העדכון, המחיצה השנייה הופכת פעילה, ובראשונה, עד להגעת העדכון הבא, נשמרת הגרסה הקודמת של המערכת, אליה ניתן לחזור אחורה אם מתעוררות בעיות. עדכונים מותקנים באופן אוטומטי ללא התערבות מנהל מערכת.

ההבדל העיקרי מהפצות דומות כמו Fedora CoreOS, CentOS/Red Hat Atomic Host הוא ההתמקדות העיקרית במתן אבטחה מירבית בהקשר של חיזוק הגנת המערכת מפני איומים אפשריים, מה שמקשה על ניצול נקודות תורפה ברכיבי מערכת ההפעלה והגברת הבידוד של קונטיינרים. קונטיינרים נוצרים באמצעות מנגנוני ליבת לינוקס סטנדרטיים - cgroups, מרחבי שמות ו-seccomp. לבידוד נוסף, ההפצה משתמשת ב-SELinux במצב "אכיפה", והמודול משמש לאימות קריפטוגרפית של תקינות מחיצת השורש dm-verity. אם מזוהה ניסיון לשנות נתונים ברמת התקן החסימה, המערכת תאתחל מחדש.

מחיצת השורש מותקנת לקריאה בלבד, ומחיצת ההגדרות /etc נטענת ב-tmpfs ומשוחזרת למצבה המקורי לאחר הפעלה מחדש. שינוי ישיר של קבצים בספריית /etc, כגון /etc/resolv.conf ו-/etc/containerd/config.toml, אינו נתמך - כדי לשמור הגדרות לצמיתות, עליך להשתמש ב-API או להעביר את הפונקציונליות לקונטיינרים נפרדים.

רוב רכיבי המערכת כתובים ב-Rust, המספק תכונות בטוחות לזיכרון כדי למנוע פגיעויות הנגרמות על ידי גישה חופשית לזיכרון, הפניית מצביע אפס וחריפת מאגר. בעת בנייה כברירת מחדל, מצבי ההידור "--enable-default-pie" ו-"--enable-default-ssp" משמשים כדי לאפשר אקראית של מרחב הכתובות של קבצי הפעלה (PIE) והגנה מפני הצפת מחסנית באמצעות החלפה קנרית.
עבור חבילות הכתובות ב-C/C++, כלולים דגלים נוספים
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ו-"-fstack-clash-protection".

כלי תזמור מכולות מסופקים בנפרד מיכל בקרה, המופעל כברירת מחדל ונשלט באמצעות API וסוכן SSM של AWS. תמונת הבסיס חסרה מעטפת פקודה, שרת SSH ושפות מפורשנות (לדוגמה, ללא Python או Perl) - כלי ניהול וכלי ניפוי באגים נמצאים ב מיכל שירות נפרד, אשר מושבת כברירת מחדל.

מקור: OpenNet.ru