격리된 컨테이너 기반 배포판인 Bottlerocket 1.3 출시

해당 호가 발행되었습니다. LinuxAmazon과 협력하여 개발된 Bottlerocket 1.3.0 배포판은 격리된 컨테이너를 효율적이고 안전하게 실행하도록 설계되었습니다. 이 배포판의 툴링 및 제어 구성 요소는 Rust로 작성되었으며 MIT 및 Apache 2.0 라이선스에 따라 배포됩니다. Bottlerocket은 Amazon ECS, VMware 및 AWS EKS Kubernetes 클러스터에서 실행될 뿐만 아니라 다양한 컨테이너 오케스트레이션 및 런타임 도구를 지원하는 사용자 지정 빌드 및 에디션도 제공합니다.

이 배포판은 커널을 포함하여 원자적으로 자동 업데이트되는 분할 불가능한 시스템 이미지를 제공합니다. Linux 컨테이너 실행에 필요한 구성 요소만 포함하는 최소 시스템 환경입니다. 이 환경에는 systemd 시스템 관리자, Glibc 라이브러리, Buildroot 빌드 툴체인, GRUB 부트로더, wicked 네트워크 구성 도구, 격리된 컨테이너용 containerd 런타임, Kubernetes 컨테이너 오케스트레이션 플랫폼, aws-iam-authenticator 인증 도구 및 Amazon ECS 에이전트가 포함됩니다.

컨테이너 오케스트레이션 도구는 별도의 관리 컨테이너에 제공되며, 이 컨테이너는 기본적으로 활성화되어 있고 API 및 AWS SSM 에이전트를 통해 관리됩니다. 기본 이미지에는 명령 셸이 포함되어 있지 않습니다. 서버 SSH 및 인터프리터 언어(예: Python 또는 Perl 제외)의 경우 관리 및 디버깅 도구는 별도의 서비스 컨테이너에 있으며 기본적으로 비활성화되어 있습니다.

Fedora CoreOS와 같은 유사한 배포판과의 주요 차이점은 다음과 같습니다. CentOSRed Hat Atomic Host는 잠재적 위협으로부터 시스템을 보호하고, 운영 체제 구성 요소의 취약점 악용을 어렵게 하며, 컨테이너 격리를 강화하여 최고의 보안을 제공하는 데 중점을 두고 있습니다. 컨테이너는 네이티브 커널 메커니즘을 사용하여 생성됩니다. Linux — cgroups, 네임스페이스 및 seccomp. 추가적인 격리를 위해 배포판은 SE를 사용합니다.Linux "강제 적용" 모드입니다.

루트 파티션은 읽기 전용으로 마운트되고, /etc 설정 파티션은 tmpfs에 마운트되어 재시작 후 원래 상태로 복원됩니다. /etc/resolv.conf 및 /etc/containerd/config.toml과 같은 /etc 디렉토리의 파일을 직접 수정하는 것은 지원되지 않습니다. 설정을 영구적으로 저장하려면 API를 사용하거나 기능을 별도의 컨테이너로 이동해야 합니다. dm-verity 모듈은 루트 파티션의 무결성을 암호화 방식으로 확인하는 데 사용되며, 블록 장치 수준에서 데이터 수정 시도가 감지되면 시스템이 재부팅됩니다.

대부분의 시스템 구성 요소는 After Free 메모리 액세스, 널 포인터 역참조 및 버퍼 오버런으로 인한 취약점을 방지하기 위해 메모리 안전 기능을 제공하는 Rust로 작성되었습니다. 기본적으로 빌드할 때 컴파일 모드 "-enable-default-pie" 및 "-enable-default-ssp"는 실행 파일 주소 공간(PIE)의 무작위화를 활성화하고 카나리아 대체를 통한 스택 오버플로로부터 보호하는 데 사용됩니다. C/C++로 작성된 패키지의 경우 "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" 및 "-fstack-clash" 플래그가 추가됩니다. 활성화 -보호".

새 릴리스에서:

• 권한이 없는 사용자가 기본 디렉터리를 넘어 외부 프로그램을 실행할 수 있도록 허용하는 잘못된 액세스 권한 설정과 관련된 docker 및 런타임 containerd 도구의 취약점(CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103)을 수정했습니다.
• kubelet 및 pluto에 추가되었습니다. IPv6 지원.
• 설정을 변경한 후 컨테이너를 다시 시작할 수 있는 기능을 제공합니다.
• eni-max-pods 패키지가 Amazon EC2 M6i 인스턴스를 지원하도록 업데이트되었습니다.
• open-vm-tools는 이제 Cilium 툴킷을 기반으로 디바이스 필터를 지원합니다.
• x86_64 플랫폼의 경우 하이브리드 부팅 모드가 구현되었습니다(EFI 및 BIOS 지원).
• Rust 언어에 대한 패키지 버전 및 종속성을 업데이트했습니다.
• Kubernetes 8 기반 aws-k1.17s-1.17 배포 변형에 대한 지원이 중단되었습니다. Kubernetes 8을 지원하는 aws-k1.21s-1.21 변형을 사용하는 것이 좋습니다. k8s 변형은 runtime.slice 및 system.slice cgroup 설정을 사용합니다.

출처 : opennet.ru