Amazon은 격리된 컨테이너를 기반으로 하는 Linux 배포판인 Bottlerocket 1.0.0을 출시했습니다.

아마존 회사 제시 전용 Linux 배포판의 첫 번째 중요한 릴리스 병 로켓 1.0.0, 격리된 컨테이너를 효율적이고 안전하게 실행하도록 설계되었습니다. 배포판의 도구와 제어 구성 요소는 Rust로 작성되었으며 확산 MIT 및 Apache 2.0 라이센스에 따라. 이 프로젝트는 GitHub에서 개발 중이며 커뮤니티 구성원이 참여할 수 있습니다. x86_64 및 Aarch64 아키텍처에 대한 시스템 배포 이미지가 생성됩니다. OS는 Amazon ECS 및 AWS EKS Kubernetes 클러스터에서 실행되도록 조정되었습니다. 제공된다 컨테이너용 다른 오케스트레이션 도구, 커널 및 런타임을 사용할 수 있는 자체 어셈블리 및 에디션을 생성하기 위한 도구입니다.

배포판은 컨테이너를 실행하는 데 필요한 구성 요소만 포함하여 Linux 커널과 최소 시스템 환경을 제공합니다. 프로젝트에 관련된 패키지 중에는 시스템 관리자 systemd, Glibc 라이브러리 및 어셈블리 도구가 있습니다.
Buildroot, GRUB 부트로더, 네트워크 구성자 사악한, 격리된 컨테이너에 대한 런타임 컨테이너, Kubernetes 컨테이너 오케스트레이션 플랫폼, aws-iam-authenticator 및 Amazon ECS 에이전트.

배포판은 원자적으로 업데이트되며 분할할 수 없는 시스템 이미지 형태로 제공됩니다. 두 개의 디스크 파티션이 시스템에 할당되며 그 중 하나에는 활성 시스템이 포함되고 업데이트는 두 번째 파티션에 복사됩니다. 업데이트가 배포되면 두 번째 파티션이 활성화되고 첫 번째 파티션에서는 다음 업데이트가 도착할 때까지 이전 버전의 시스템이 저장되어 문제가 발생할 경우 롤백할 수 있습니다. 업데이트는 관리자 개입 없이 자동으로 설치됩니다.

Fedora CoreOS, CentOS/Red Hat Atomic Host와 같은 유사한 배포판과의 주요 차이점은 최대의 보안 가능한 위협으로부터 시스템 보호를 강화하는 맥락에서 OS 구성 요소의 취약점을 악용하기가 더 어려워지고 컨테이너 격리가 증가합니다. 컨테이너는 표준 Linux 커널 메커니즘(cgroup, 네임스페이스 및 seccomp)을 사용하여 생성됩니다. 추가 격리를 위해 배포판은 "강제" 모드에서 SELinux를 사용하고 모듈은 루트 파티션의 무결성에 대한 암호화 검증에 사용됩니다. DM-진실. 블록 장치 수준에서 데이터를 수정하려는 시도가 감지되면 시스템이 재부팅됩니다.

루트 파티션은 읽기 전용으로 마운트되고, /etc 설정 파티션은 tmpfs에 마운트되어 재시작 후 원래 상태로 복원됩니다. /etc/resolv.conf 및 /etc/containerd/config.toml과 같은 /etc 디렉토리의 파일을 직접 수정하는 것은 지원되지 않습니다. 설정을 영구적으로 저장하려면 API를 사용하거나 기능을 별도의 컨테이너로 이동해야 합니다.

대부분의 시스템 구성 요소는 After Free 메모리 액세스, 널 포인터 역참조 및 버퍼 오버런으로 인한 취약점을 방지하기 위해 메모리 안전 기능을 제공하는 Rust로 작성되었습니다. 기본적으로 빌드할 때 "--enable-default-pie" 및 "--enable-default-ssp" 컴파일 모드는 실행 파일의 주소 공간 무작위화를 활성화하는 데 사용됩니다(PIE) 및 카나리아 대체를 통한 스택 오버플로 보호.
C/C++로 작성된 패키지의 경우 추가 플래그가 포함됩니다.
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" 및 "-fstack-clash-protection".

컨테이너 오케스트레이션 도구는 별도로 제공됩니다. 제어 컨테이너, 이는 기본적으로 활성화되어 있으며 다음을 통해 제어됩니다. API 및 AWS SSM 에이전트. 기본 이미지에는 명령 셸, SSH 서버 및 해석된 언어(예: Python 또는 Perl 없음)가 없습니다. 관리 도구 및 디버깅 도구는 다음 위치에 있습니다. 별도의 서비스 컨테이너, 이는 기본적으로 비활성화되어 있습니다.

출처 : opennet.ru