ಅಮೆಜಾನ್ ಕಂಪನಿ ಮೀಸಲಾದ ಲಿನಕ್ಸ್ ವಿತರಣೆಯ ಮೊದಲ ಗಮನಾರ್ಹ ಬಿಡುಗಡೆ , ಪ್ರತ್ಯೇಕವಾದ ಧಾರಕಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಮತ್ತು ಸುರಕ್ಷಿತವಾಗಿ ಚಲಾಯಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ವಿತರಣೆಯ ಪರಿಕರಗಳು ಮತ್ತು ನಿಯಂತ್ರಣ ಘಟಕಗಳನ್ನು ರಸ್ಟ್ ಮತ್ತು ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ MIT ಮತ್ತು Apache 2.0 ಪರವಾನಗಿಗಳ ಅಡಿಯಲ್ಲಿ. ಯೋಜನೆಯನ್ನು GitHub ನಲ್ಲಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗುತ್ತಿದೆ ಮತ್ತು ಸಮುದಾಯದ ಸದಸ್ಯರು ಭಾಗವಹಿಸಲು ಲಭ್ಯವಿದೆ. ಸಿಸ್ಟಮ್ ನಿಯೋಜನೆ ಚಿತ್ರವನ್ನು x86_64 ಮತ್ತು Aarch64 ಆರ್ಕಿಟೆಕ್ಚರ್ಗಳಿಗಾಗಿ ರಚಿಸಲಾಗಿದೆ. OS ಅನ್ನು Amazon ECS ಮತ್ತು AWS EKS ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ಗಳಲ್ಲಿ ಚಲಾಯಿಸಲು ಅಳವಡಿಸಲಾಗಿದೆ. ನಿಮ್ಮ ಸ್ವಂತ ಅಸೆಂಬ್ಲಿಗಳು ಮತ್ತು ಆವೃತ್ತಿಗಳನ್ನು ರಚಿಸಲು ಉಪಕರಣಗಳು, ಇದು ಇತರ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಉಪಕರಣಗಳು, ಕರ್ನಲ್ಗಳು ಮತ್ತು ಕಂಟೇನರ್ಗಳಿಗಾಗಿ ರನ್ಟೈಮ್ ಅನ್ನು ಬಳಸಬಹುದು.
ವಿತರಣೆಯು ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ಮತ್ತು ಕನಿಷ್ಟ ಸಿಸ್ಟಮ್ ಪರಿಸರವನ್ನು ಒದಗಿಸುತ್ತದೆ, ಕಂಟೇನರ್ಗಳನ್ನು ಚಲಾಯಿಸಲು ಅಗತ್ಯವಾದ ಘಟಕಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿದೆ. ಯೋಜನೆಯಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ಪ್ಯಾಕೇಜುಗಳಲ್ಲಿ ಸಿಸ್ಟಮ್ ಮ್ಯಾನೇಜರ್ ಸಿಸ್ಟಮ್ಡ್, ಗ್ಲಿಬ್ಕ್ ಲೈಬ್ರರಿ ಮತ್ತು ಅಸೆಂಬ್ಲಿ ಉಪಕರಣಗಳು
ಬಿಲ್ಡ್ರೂಟ್, GRUB ಬೂಟ್ಲೋಡರ್, ನೆಟ್ವರ್ಕ್ ಕಾನ್ಫಿಗರೇಟರ್ , ಪ್ರತ್ಯೇಕ ಕಂಟೈನರ್ಗಳಿಗೆ ರನ್ಟೈಮ್ , ಕುಬರ್ನೆಟ್ಸ್ ಕಂಟೈನರ್ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್, aws-iam-authenticator, ಮತ್ತು Amazon ECS ಏಜೆಂಟ್.
ವಿತರಣೆಯನ್ನು ಪರಮಾಣುವಾಗಿ ನವೀಕರಿಸಲಾಗಿದೆ ಮತ್ತು ಅವಿಭಾಜ್ಯ ಸಿಸ್ಟಮ್ ಇಮೇಜ್ ರೂಪದಲ್ಲಿ ವಿತರಿಸಲಾಗುತ್ತದೆ. ಸಿಸ್ಟಮ್ಗಾಗಿ ಎರಡು ಡಿಸ್ಕ್ ವಿಭಾಗಗಳನ್ನು ಹಂಚಲಾಗುತ್ತದೆ, ಅವುಗಳಲ್ಲಿ ಒಂದು ಸಕ್ರಿಯ ಸಿಸ್ಟಮ್ ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ ಮತ್ತು ನವೀಕರಣವನ್ನು ಎರಡನೆಯದಕ್ಕೆ ನಕಲಿಸಲಾಗುತ್ತದೆ. ನವೀಕರಣವನ್ನು ನಿಯೋಜಿಸಿದ ನಂತರ, ಎರಡನೇ ವಿಭಾಗವು ಸಕ್ರಿಯಗೊಳ್ಳುತ್ತದೆ, ಮತ್ತು ಮೊದಲನೆಯದು, ಮುಂದಿನ ನವೀಕರಣವು ಬರುವವರೆಗೆ, ಸಿಸ್ಟಮ್ನ ಹಿಂದಿನ ಆವೃತ್ತಿಯನ್ನು ಉಳಿಸಲಾಗುತ್ತದೆ, ಸಮಸ್ಯೆಗಳು ಉದ್ಭವಿಸಿದರೆ ನೀವು ಹಿಂತಿರುಗಿಸಬಹುದು. ನಿರ್ವಾಹಕರ ಹಸ್ತಕ್ಷೇಪವಿಲ್ಲದೆ ನವೀಕರಣಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಥಾಪಿಸಲಾಗುತ್ತದೆ.
Fedora CoreOS, CentOS/Red Hat ಪರಮಾಣು ಹೋಸ್ಟ್ನಂತಹ ಒಂದೇ ರೀತಿಯ ವಿತರಣೆಗಳಿಂದ ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸವು ಒದಗಿಸುವಲ್ಲಿ ಪ್ರಾಥಮಿಕ ಗಮನವಾಗಿದೆ ಸಂಭವನೀಯ ಬೆದರಿಕೆಗಳಿಂದ ಸಿಸ್ಟಮ್ ರಕ್ಷಣೆಯನ್ನು ಬಲಪಡಿಸುವ ಸಂದರ್ಭದಲ್ಲಿ, OS ಘಟಕಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದು ಮತ್ತು ಕಂಟೇನರ್ಗಳ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಹೆಚ್ಚಿಸುವುದು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿದೆ. ಧಾರಕಗಳನ್ನು ಪ್ರಮಾಣಿತ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ರಚಿಸಲಾಗಿದೆ - cgroups, namespaces ಮತ್ತು seccomp. ಹೆಚ್ಚುವರಿ ಪ್ರತ್ಯೇಕತೆಗಾಗಿ, ವಿತರಣೆಯು "ಎನ್ಫೋರ್ಸಿಂಗ್" ಮೋಡ್ನಲ್ಲಿ SELinux ಅನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಮೂಲ ವಿಭಾಗದ ಸಮಗ್ರತೆಯ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಪರಿಶೀಲನೆಗಾಗಿ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. . ಬ್ಲಾಕ್ ಸಾಧನ ಮಟ್ಟದಲ್ಲಿ ಡೇಟಾವನ್ನು ಮಾರ್ಪಡಿಸುವ ಪ್ರಯತ್ನ ಪತ್ತೆಯಾದರೆ, ಸಿಸ್ಟಮ್ ರೀಬೂಟ್ ಆಗುತ್ತದೆ.
ರೂಟ್ ವಿಭಾಗವನ್ನು ಓದಲು ಮಾತ್ರ ಅಳವಡಿಸಲಾಗಿದೆ, ಮತ್ತು /etc ಸೆಟ್ಟಿಂಗ್ಗಳ ವಿಭಾಗವನ್ನು tmpfs ನಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ ಮತ್ತು ಮರುಪ್ರಾರಂಭಿಸಿದ ನಂತರ ಅದರ ಮೂಲ ಸ್ಥಿತಿಗೆ ಮರುಸ್ಥಾಪಿಸಲಾಗುತ್ತದೆ. /etc/resolv.conf ಮತ್ತು /etc/containerd/config.toml ನಂತಹ /etc ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಫೈಲ್ಗಳ ನೇರ ಮಾರ್ಪಾಡು ಬೆಂಬಲಿತವಾಗಿಲ್ಲ - ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಶಾಶ್ವತವಾಗಿ ಉಳಿಸಲು, ನೀವು API ಅನ್ನು ಬಳಸಬೇಕು ಅಥವಾ ಕಾರ್ಯವನ್ನು ಪ್ರತ್ಯೇಕ ಕಂಟೇನರ್ಗಳಿಗೆ ಸರಿಸಬೇಕು.
ಹೆಚ್ಚಿನ ಸಿಸ್ಟಮ್ ಘಟಕಗಳನ್ನು ರಸ್ಟ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ, ಇದು ಆಫ್ಟರ್-ಫ್ರೀ ಮೆಮೊರಿ ಪ್ರವೇಶಗಳು, ಶೂನ್ಯ ಪಾಯಿಂಟರ್ ಡಿರೆಫರೆನ್ಸ್ಗಳು ಮತ್ತು ಬಫರ್ ಓವರ್ರನ್ಗಳಿಂದ ಉಂಟಾಗುವ ದುರ್ಬಲತೆಗಳನ್ನು ತಪ್ಪಿಸಲು ಮೆಮೊರಿ-ಸುರಕ್ಷಿತ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿರ್ಮಿಸುವಾಗ, "--enable-default-pie" ಮತ್ತು "--enable-default-ssp" ಸಂಕಲನ ವಿಧಾನಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳ ವಿಳಾಸ ಸ್ಥಳದ ಯಾದೃಚ್ಛಿಕಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ () ಮತ್ತು ಕ್ಯಾನರಿ ಪರ್ಯಾಯದ ಮೂಲಕ ಸ್ಟಾಕ್ ಓವರ್ಫ್ಲೋ ರಕ್ಷಣೆ.
C/C++ ನಲ್ಲಿ ಬರೆಯಲಾದ ಪ್ಯಾಕೇಜ್ಗಳಿಗಾಗಿ, ಹೆಚ್ಚುವರಿ ಫ್ಲ್ಯಾಗ್ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ
"-ವಾಲ್", "-ವೆರ್ರರ್=ಫಾರ್ಮ್ಯಾಟ್-ಸೆಕ್ಯುರಿಟಿ", "-ಡಬ್ಲ್ಯೂಪಿ,-ಡಿ_ಫೋರ್ಟಿಎಫ್ವೈ_SOURCE=2", "-ಡಬ್ಲ್ಯೂಪಿ,-D_GLIBCXX_ASSERTIONS" ಮತ್ತು "-fstack-clash-protection".
ಕಂಟೈನರ್ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಉಪಕರಣಗಳನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಸರಬರಾಜು ಮಾಡಲಾಗುತ್ತದೆ , ಇದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಮೂಲಕ ನಿಯಂತ್ರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು AWS SSM ಏಜೆಂಟ್. ಮೂಲ ಚಿತ್ರವು ಕಮಾಂಡ್ ಶೆಲ್, SSH ಸರ್ವರ್ ಮತ್ತು ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಭಾಷೆಗಳನ್ನು ಹೊಂದಿಲ್ಲ (ಉದಾಹರಣೆಗೆ, ಪೈಥಾನ್ ಅಥವಾ ಪರ್ಲ್ ಇಲ್ಲ) - ಆಡಳಿತಾತ್ಮಕ ಪರಿಕರಗಳು ಮತ್ತು ಡೀಬಗ್ ಮಾಡುವ ಪರಿಕರಗಳು ನೆಲೆಗೊಂಡಿವೆ , ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru