Amazon Company éischt bedeitend Verëffentlechung vun enger engagéierter Linux Verdeelung , entwéckelt fir isoléiert Container effizient a sécher ze lafen. D'Verdeelung Handwierksgeschir a Kontroll Komponente sinn an Rust geschriwwen an ënner MIT an Apache 2.0 Lizenzen. De Projet gëtt op GitHub entwéckelt an ass verfügbar fir Participatioun vu Gemeinschaftsmemberen. De System Deployment Image gëtt fir x86_64 an Aarch64 Architekturen generéiert. D'OS ass ugepasst fir op Amazon ECS an AWS EKS Kubernetes Cluster ze lafen. Tools fir Är eege Versammlungen an Editiounen ze kreéieren, déi aner Orchestratiounsinstrumenter, Kären a Runtime fir Container benotze kënnen.
D'Verdeelung bitt de Linux Kernel an e minimale Systemëmfeld, och nëmmen déi Komponenten déi néideg sinn fir Container ze lafen. Ënnert de Packagen, déi am Projet involvéiert sinn, sinn de Systemmanager systemd, d'Glibc Bibliothéik, an d'Versammlungstools
Buildroot, GRUB Bootloader, Netzwierkkonfigurator , Runtime fir isoléiert Container , Kubernetes Container Orchestratioun Plattform, aws-iam-authenticator, an Amazon ECS Agent.
D'Verdeelung gëtt atomesch aktualiséiert a gëtt a Form vun engem ondeelbare Systembild geliwwert. Zwee Disk Partitionen ginn fir de System zougewisen, eng vun deenen den aktive System enthält, an den Update gëtt op déi zweet kopéiert. Nodeems d'Aktualiséierung ofgesat ass, gëtt déi zweet Partition aktiv, an an der éischter, bis den nächsten Update ukomm ass, gëtt déi viregt Versioun vum System gespäichert, op déi Dir kënnt zréckrollen wann Probleemer entstinn. Updates ginn automatesch installéiert ouni Administratorinterventioun.
De Schlësselunterscheed vun ähnlechen Distributiounen wéi Fedora CoreOS, CentOS / Red Hat Atomic Host ass de primäre Fokus op d'Liwwerung am Kontext vun der Stäerkung vum System Schutz vu méigleche Bedrohungen, wat et méi schwéier mécht Schwächen an OS Komponenten auszenotzen an d'Isolatioun vu Container ze erhéijen. Container ginn erstallt mat Standard Linux Kernel Mechanismen - cgroups, namespaces a seccomp. Fir zousätzlech Isolatioun benotzt d'Verdeelung SELinux am "Enforcer" Modus, an de Modul gëtt fir kryptographesch Verifizéierung vun der Integritéit vun der Root Partition benotzt. . Wann e Versuch d'Donnéeën um Blockapparatniveau z'änneren festgestallt gëtt, fänkt de System nei.
D'Root-Partition ass nëmme liest montéiert, an d' / etc Astellungspartition ass an tmpfs montéiert a restauréiert an säin ursprénglechen Zoustand no engem Neistart. Direkt Ännerung vun Dateien am /etc Verzeichnis, wéi /etc/resolv.conf an /etc/containerd/config.toml, gëtt net ënnerstëtzt - fir permanent Astellungen ze späicheren, musst Dir d'API benotzen oder d'Funktionalitéit an getrennten Container réckelen.
Déi meescht Systemkomponente sinn a Rust geschriwwe ginn, wat Memory-sécher Features ubitt fir Schwachstelle ze vermeiden verursaacht duerch After-Free Memory-Zougäng, Null Pointer-Dereferenzen a Puffer-Iwwerreechungen. Wann Dir als Standard baut, ginn d'Kompilatiounsmodi "--enable-default-pie" an "--enable-default-ssp" benotzt fir Randomiséierung vum Adressraum vun ausführbare Dateien z'erméiglechen () a Stack Iwwerschwemmungsschutz iwwer Kanaresch Ersatz.
Fir Packagen geschriwwen an C / C ++, zousätzlech Fändelen sinn abegraff
"-Wall", "-Werror=format-Security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" an "-fstack-clash-protection".
Container Orchestratiounsinstrumenter ginn separat geliwwert , déi als Standard aktivéiert a kontrolléiert gëtt via an AWS SSM Agent. D'Basisbild feelt eng Kommandoshell, SSH Server an interpretéiert Sproochen (zum Beispill kee Python oder Perl) - administrativ Tools an Debugging Tools sinn an , déi par défaut ausgeschalt ass.
Source: opennet.ru