アマゾン社
このディストリビューションは、Linux カーネルと、コンテナーの実行に必要なコンポーネントのみを含む最小限のシステム環境を提供します。プロジェクトに関係するパッケージには、システム マネージャー systemd、Glibc ライブラリ、アセンブリ ツールなどがあります。
Buildroot、GRUB ブートローダー、ネットワーク コンフィギュレーター
ディストリビューションはアトミックに更新され、分割できないシステム イメージの形式で配信されます。システムには XNUMX つのディスク パーティションが割り当てられ、そのうちの XNUMX つはアクティブ システムを含み、更新は XNUMX 番目のパーティションにコピーされます。更新プログラムの展開後、XNUMX 番目のパーティションがアクティブになり、最初のパーティションでは、次の更新が到着するまで、システムの以前のバージョンが保存され、問題が発生した場合にロールバックできます。更新は管理者の介入なしで自動的にインストールされます。
Fedora CoreOS、CentOS/Red Hat Atomic Host などの同様のディストリビューションとの主な違いは、提供することに主に焦点を当てていることです。
ルート パーティションは読み取り専用でマウントされ、/etc 設定パーティションは tmpfs にマウントされ、再起動後に元の状態に復元されます。 /etc/resolv.conf や /etc/containerd/config.toml など、/etc ディレクトリ内のファイルの直接変更はサポートされていません。設定を永続的に保存するには、API を使用するか、機能を別のコンテナに移動する必要があります。
ほとんどのシステム コンポーネントは Rust で書かれており、解放後のメモリ アクセス、null ポインタの逆参照、バッファ オーバーランによって引き起こされる脆弱性を回避するメモリセーフ機能を提供します。デフォルトでビルドする場合、「--enable-default-pie」および「--enable-default-ssp」コンパイル モードを使用して、実行可能ファイルのアドレス空間のランダム化が有効になります(
C/C++ で書かれたパッケージの場合、追加のフラグが含まれます
「-Wall」、「-Werror=format-security」、「-Wp、-D_FORTIFY_SOURCE=2」、「-Wp、-D_GLIBCXX_ASSERTIONS」、および「-fstack-clash-protection」。
コンテナオーケストレーションツールは別途提供されます
出所: オープンネット.ru