D'Verëffentlechung vun der Bottlerocket 1.8.0 Linux Verdeelung gouf publizéiert, entwéckelt mat der Participatioun vun Amazon fir effektiv a sécher isoléiert Container ze lafen. D'Toolkit a Kontrollkomponente vun der Verdeelung sinn a Rust geschriwwen a verdeelt ënner der MIT an Apache 2.0 Lizenzen. Et ënnerstëtzt Bottlerocket op Amazon ECS, VMware, an AWS EKS Kubernetes Cluster ze lafen, souwéi personaliséiert Builds an Editiounen ze kreéieren déi verschidde Orchesteréierungs- a Runtime-Tools fir Container erlaben.
D'Verdeelung liwwert en atomesch an automatesch aktualiséiert ondeelbar Systembild, deen den Linux Kernel an e minimale Systemëmfeld enthält, deen nëmmen déi Komponenten enthält déi néideg sinn fir Container ze lafen. D'Ëmfeld enthält de Systemd System Manager, d'Glibc Bibliothéik, de Buildroot Build Tool, de GRUB Bootloader, de wicked Network Configurator, de Containerd isoléiert Container Runtime, d'Kubernetes Container Orchestratiounsplattform, den aws-iam-Authenticator, an den Amazon ECS Agent. .
D'Container Orchestratiounsinstrumenter kommen an engem getrennten Gestiounscontainer deen als Standard aktivéiert ass an duerch den API an AWS SSM Agent geréiert gëtt. D'Basisbild fehlt eng Kommandoshell, e SSH-Server an interpretéiert Sproochen (zum Beispill kee Python oder Perl) - administrativ an Debugging-Tools ginn an e separaten Servicecontainer geplënnert, deen als Standard deaktivéiert ass.
De Schlësselunterscheed vun ähnlechen Verdeelungen wéi Fedora CoreOS, CentOS / Red Hat Atomic Host ass de primäre Fokus fir maximal Sécherheet am Kontext vun der Stäerkung vum Systemschutz géint méiglech Bedrohungen ze stäerken, d'Ausbeutung vu Schwachstelle bei OS Komponenten ze komplizéieren an d'Containerisolatioun ze erhéijen. Container ginn erstallt mat de reguläre Mechanismen vum Linux Kernel - cgroups, namespaces a seccomp. Fir zousätzlech Isolatioun benotzt d'Verdeelung SELinux am "enforcement" Modus.
D'Root-Partition ass am Read-only Modus montéiert, an d'Partition mat /etc-Astellunge gëtt an tmpfs montéiert an no engem Restart op säin ursprénglechen Zoustand restauréiert. Direkt Ännerung vun Dateien am /etc Verzeichnis, wéi /etc/resolv.conf an /etc/containerd/config.toml, gëtt net ënnerstëtzt - fir permanent Astellungen ze späicheren, sollt Dir d'API benotzen oder d'Funktionalitéit op d'Trennung vu Container réckelen. Fir kryptographesch Verifizéierung vun der Integritéit vun der Root-Partition, gëtt den dm-verity-Modul benotzt, a wann e Versuch fir Daten um Block-Apparat-Niveau ze änneren, gëtt de System nei gestart.
Déi meescht Systemkomponente sinn a Rust geschriwwe ginn, wat Erënnerungssécher Tools ubitt fir Schwachstelle ze vermeiden verursaacht duerch Adresséierung vun engem Erënnerungsberäich nodeems se befreit gouf, Nullpointer ofgeleent a Pufferiwwerschlag. Wann Dir baut, ginn d'Kompilatiounsmodi "--enable-default-pie" an "--enable-default-ssp" als Standard benotzt fir ausführbar Adressraumrandomiséierung (PIE) a Schutz géint Stack Iwwerfloss duerch Kanaresch Labelsubstitutioun z'erméiglechen. Fir Packagen, déi an C/C++ geschriwwe sinn, sinn d'"-Wall", "-Werror=format-Security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" an "-fstack-clash" Fändelen zousätzlech abegraff - Schutz.
An der neier Verëffentlechung:
- Den Inhalt vun den administrativen a Kontrollbehälter gouf aktualiséiert.
- Runtime fir isoléiert Container gouf an der containerd 1.6.x Branche aktualiséiert.
- Neistart vun den Hannergrondprozesser, déi d'Aarbecht vun de Container koordinéieren, ass gesuergt no Ännerungen am Zertifikatgeschäft.
- D'Kapazitéit fir Bootparameter vum Kernel duerch d'Boot Configuration Sektioun ze setzen gëtt zur Verfügung gestallt.
- Aktivéiert ignoréieren eidel Blocken wann Dir d'Integritéit vun der Rootpartition iwwerpréift mat dm-verity.
- Gitt d'Fäegkeet fir Hostnamen an /etc/hosts statesch ze binden.
- D'Kapazitéit fir eng Netzwierkkonfiguratioun mam Netdog Utility ze generéieren gouf zur Verfügung gestallt (de Generéiere-net-config Kommando gouf bäigefüügt).
- Nei Verdeelungsoptioune mat Ënnerstëtzung fir Kubernetes 1.23 ginn proposéiert. Reduzéiert Startzäit fir Pods a Kubernetes andeems de ConfigMapAndSecretChangeDetectionStrategy Modus desaktivéiert. Nei Kubelet Astellunge bäigefüügt: Provider-ID a PodPidsLimit.
- Eng nei 'aws-ecs-1-nvidia' Verdeelung fir Amazon Elastic Container Service (Amazon ECS) gouf proposéiert a kënnt mat NVIDIA Treiber.
- Zousätzlech Ënnerstëtzung fir Microchip Smart Storage a MegaRAID SAS Späichergeräter. Erweidert Ënnerstëtzung fir Ethernet Kaarten baséiert op Broadcom Chips.
- Aktualiséiert Versioune vu Packagen an Ofhängegkeete fir Go a Rust Sproochen, souwéi Versioune vu Packagen mat Drëtt Partei Programmer. Bottlerocket SDK gouf op Versioun 0.26.0 aktualiséiert.
Source: opennet.ru