Dimissio distributionis Linux Bottlerocket 1.3.0 divulgata est, evoluta cum participatione Amazonum ad launches solitariae continentium efficientem et securam. Distributio instrumentorum et diurnorum penes Rust scripta sunt et sub MIT et Apache 2.0 licentias distributae. Bottlerocket currentes in Bottlerocket Amazon ECS, VMware et AWS EKS Kubernetes ligaturas sustinet, tum consuetudo fabricat et editiones creans quae usum orchestrationis et runtime instrumentorum pro vasis permittunt.
Distributio praebet atomice et automatice imaginem systematis indivisibilis renovavit, quae nucleum Linux et minimam ambitum systematis comprehendit, inclusa tantum elementa ad vasa currenda necessaria. Ambitus comprehendit procurator systematis systematis, bibliotheca Glibc, instrumentum aedificationis aedificationis, GRUB tabernus oneratus, retis nequam configurator, runtim continens separatim vasorum, Kubernetes continens orchestrationem suggestum, aws-iam-authenticatorem, et Amazonum. AGENS ECS.
Instrumentorum orchestrationis continens veniunt in vase separato, quod est per defaltam et per API et AWS SSM Agens administratur. Basis imago imperio caret testa, servo SSH et linguarum interpretatione (exempli gratia, non Python aut Perl) - instrumenta administrativa et instrumenta debugging in vase separato positae sunt, quae per defaltam debilitata est.
Clavis differentia a similibus distributionibus qualia sunt Fedora CoreOS, CentOS/Red Hat Hostia atomica est prima focus in maxima securitate providens in contextu systematis muniendi ab minis possibilibus, difficiliorem reddens vulnerabilitates in OS componentibus et solitario continens augescens . Vasa Linux nuclei vexillum utentes machinationes - cgroups, spatia nominaque seccomp creantur. Pro solitario addito, distributio SELinux in modum "exsequendi" utitur.
Radix partitio solum legitur annectitur, et /etc occasus maceriae in tmpfs annectitur et post sileo in pristinum statum restituitur. Modificatio directa imaginum in /etc presul, ut /etc/resolv.conf et /etc/containerd/config.toml, non praebetur - ad perpetuum servandum uncinis, API uti debes vel functionem in vasis separatis movere. Modulus dm-veritatis ad cryptographice comprobandam integritatem partitionis radicis adhibetur, et si conatus deprehensus est gradatim fabricae mutare notitias in scandalum, ratio reboots est.
Pleraque systematis componentium in Rubigo scripta sunt, quae notas scientificas tutas praebet ad vitanda vulnerabilitates, quae post accessiones liberae memoriae, nullum monstratorem dereferences, et quiddam eliminatum. Cum aedificaretur per defaltam, compilatio modi "-enable-default-pie" et "-enable-default-ssp" adhibentur ut randomization fasciculi exsecutabilis electronicae spatii (PIE) et tutela contra acervum per substitutionem canariae redundat. Ad fasciculos in C/C ++ scriptos, vexilla "-Wall", "-Werror=format-securitates", "-Wp, -D_FORTIFY_SOURCE=2", "-Wp, -D_GLIBCXX_ASSERTIONS" et "-fstack-concursus" accedunt enabled -protection ".
in nova emissione;
- Vulnerationes fixae in schoia et runtime instrumentorum continentium (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) ad falsas accessus iurium occasus relatas, quae utentes sine privilegio utentes basim transcendere permiserunt. directorium et programmata externa.
- Auxilia IPv6 addita sunt kubelet et pluto.
- Potest sileo continens mutato eius occasu.
- Support for Amazon EC2 M6i instantiae in sarcina eni-max-siliquae additae sunt.
- Instrumenta open-vm-filamenta fabricae subsidia addidit, innixa in toolkit Cilium.
- Pro suggestu x86_64, modus tabernus hybridarum impletur (subsidiis pro EFi et BIOS).
- Renovata involucrum versiones et clientelas in lingua Russica.
- Auxilio ad distributionem variantium aws-k8s-1.17 innixa Kubernetes 1.17 discontinuata est. Commendatur versioni aws-k8s-1.21 uti cum auxilio Kubernetes 1.21. Variantes k8s utantur cgroup runtime.slice et systemate.slice occasus.
Source: opennet.ru