ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Bottlerocket 1.8 kasedhiya, distribusi adhedhasar wadhah sing terisolasi

Bottlerocket 1.8 kasedhiya, distribusi adhedhasar wadhah sing terisolasi

Rilis distribusi Linux Bottlerocket 1.8.0 wis diterbitake, dikembangake kanthi partisipasi Amazon kanggo mbukak wadhah sing terisolasi kanthi efektif lan aman. Komponen toolkit lan kontrol distribusi ditulis ing Rust lan disebarake miturut lisensi MIT lan Apache 2.0. Ndhukung mbukak Bottlerocket ing Amazon ECS, VMware, lan AWS EKS Kubernetes kluster, uga nggawe mbangun lan edisi khusus sing ngidini orkestrasi lan alat runtime sing beda kanggo kontaner.

Distribusi kasebut nyedhiyakake gambar sistem sing ora bisa dibagi kanthi otomatis lan otomatis dianyari sing kalebu kernel Linux lan lingkungan sistem minimal sing kalebu mung komponen sing dibutuhake kanggo mbukak wadhah. Lingkungan kasebut kalebu manajer sistem sistem, perpustakaan Glibc, alat mbangun Buildroot, bootloader GRUB, konfigurator jaringan sing jahat, wadhah kontainer terisolasi, platform orkestrasi wadah Kubernetes, aws-iam-authenticator, lan agen Amazon ECS .

Piranti orkestrasi wadhah kasedhiya ing wadhah manajemen sing kapisah sing diaktifake kanthi standar lan dikelola liwat Agen API lan AWS SSM. Gambar dhasar ora duwe cangkang perintah, server SSH, lan basa sing diinterpretasikake (contone, ora ana Python utawa Perl) - alat administratif lan debugging dipindhah menyang wadhah layanan sing kapisah, sing dipateni kanthi standar.

Bentenane utama saka distribusi sing padha kayata Fedora CoreOS, CentOS / Red Hat Atomic Host yaiku fokus utamane kanggo nyedhiyakake keamanan maksimal ing konteks nguatake proteksi sistem nglawan ancaman sing bisa ditindakake, nyepetake eksploitasi kerentanan ing komponen OS lan nambah isolasi wadah. Wadah digawe nggunakake mekanisme biasa saka kernel Linux - cgroups, namespaces lan seccomp. Kanggo isolasi tambahan, distribusi nggunakake SELinux ing mode "menerapake".

Partisi root dipasang ing mode mung maca, lan partisi kanthi setelan / etc dipasang ing tmpfs lan dibalekake menyang negara asline sawise diwiwiti maneh. Modifikasi langsung file ing direktori /etc, kayata /etc/resolv.conf lan /etc/containerd/config.toml, ora didhukung - kanggo nyimpen setelan permanen, sampeyan kudu nggunakake API utawa mindhah fungsi kanggo kontaner kapisah. Kanggo verifikasi kriptografi saka integritas partisi ROOT, modul dm-verity digunakake, lan yen nyoba kanggo ngowahi data ing tingkat piranti pamblokiran dideteksi, sistem reboots.

Umume komponen sistem ditulis ing Rust, sing nyedhiyakake alat sing aman kanggo memori kanggo ngindhari kerentanan sing disebabake dening ngatasi area memori sawise dibebasake, nuli null pointer, lan overruns buffer. Nalika mbangun, mode kompilasi "--enable-default-pie" lan "--enable-default-ssp" digunakake kanthi gawan kanggo ngaktifake acak spasi alamat file eksekusi (PIE) lan pangayoman marang tumpukan overflows liwat substitusi label kenari. Kanggo paket sing ditulis ing C/C++, gendΓ©ra "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" lan "-fstack-clash" minangka tambahan. klebu - pangayoman.

Ing release anyar:

  • ОбновлСно содСрТимоС административного ΠΈ ΡƒΠΏΡ€Π°Π²Π»ΡΡŽΡ‰Π΅Π³ΠΎ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ².
  • Runtime для ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½ Π΄ΠΎ Π²Π΅Ρ‚ΠΊΠΈ containerd 1.6.x.
  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ пСрСзапуск Ρ„ΠΎΠ½ΠΎΠ²Ρ‹Ρ… процСссов, ΠΊΠΎΠΎΡ€Π΄ΠΈΠ½ΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… Ρ€Π°Π±ΠΎΡ‚Ρƒ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², послС ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ сСртификатов.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ выставлСния Π·Π°Π³Ρ€ΡƒΠ·ΠΎΡ‡Π½Ρ‹Ρ… ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² ядра Ρ‡Π΅Ρ€Π΅Π· ΡΠ΅ΠΊΡ†ΠΈΡŽ Boot Configuration.
  • Π’ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΎ ΠΈΠ³Π½ΠΎΡ€ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ пустых Π±Π»ΠΎΠΊΠΎΠ² ΠΏΡ€ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π΅ цСлостности ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠ³ΠΎ Ρ€Π°Π·Π΄Π΅Π»Π° ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ dm-verity.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ статичСской привязки ΠΈΠΌΡ‘Π½ хостов Π² /etc/hosts.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ сСтСвой ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ netdog (Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° generate-net-config).
  • ΠŸΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Ρ‹ Π½ΠΎΠ²Ρ‹Π΅ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Ρ‹ дистрибутива c ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΎΠΉ Kubernetes 1.23. Π‘ΠΎΠΊΡ€Π°Ρ‰Π΅Π½ΠΎ врСмя запуска pod-ΠΎΠ² Π² Kubernetes Π·Π° счёт ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ Ρ€Π΅ΠΆΠΈΠΌΠ° configMapAndSecretChangeDetectionStrategy. Π”ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹ Π½ΠΎΠ²Ρ‹Π΅ настройки kubelet-ΠΎΠ²: provider-id ΠΈ podPidsLimit.
  • ΠŸΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½ Π½ΠΎΠ²Ρ‹ΠΉ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ дистрибутива Β«aws-ecs-1-nvidiaΒ» для Amazon Elastic Container Service (Amazon ECS), поставляСмый с Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€Π°ΠΌΠΈ NVIDIA.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° устройств хранСния Microchip Smart Storage ΠΈ MegaRAID SAS. Π Π°ΡΡˆΠΈΡ€Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Ethernet-ΠΊΠ°Ρ€Ρ‚ Π½Π° Ρ‡ΠΈΠΏΠ°Ρ… Broadcom.
  • ΠžΠ±Π½ΠΎΠ²Π»Π΅Π½Ρ‹ вСрсии ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΈ зависимости для языков Go ΠΈ Rust, Π° Ρ‚Π°ΠΊΠΆΠ΅ вСрсии ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² со сторонними ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°ΠΌΠΈ. Bottlerocket SDK ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½ Π΄ΠΎ вСрсии 0.26.0.

Source: opennet.ru

Add a comment