D'Verëffentlechung vun der Linux Verdeelung Bottlerocket 1.1.0 ass verfügbar, entwéckelt mat der Participatioun vun Amazon fir den effizienten a séchere Start vun isoléierte Container. D'Verdeelungstools a Kontrollkomponente ginn a Rust geschriwwen a verdeelt ënner de MIT an Apache 2.0 Lizenzen. Et ënnerstëtzt Bottlerocket an Amazon ECS an AWS EKS Kubernetes Cluster ze lafen, wéi och personaliséiert Builds an Editiounen ze kreéieren déi d'Benotzung vu verschiddenen Orchestratiouns- a Runtime-Tools fir Container erlaben.
D'Verdeelung liwwert en atomesch an automatesch aktualiséiert ondeelbar Systembild, deen den Linux Kernel an e minimale Systemëmfeld enthält, deen nëmmen déi Komponenten enthält déi néideg sinn fir Container ze lafen. D'Ëmfeld enthält de Systemd System Manager, d'Glibc Bibliothéik, de Buildroot Build Tool, de GRUB Bootloader, de wicked Network Configurator, de Containerd isoléiert Container Runtime, d'Kubernetes Container Orchestratiounsplattform, den aws-iam-Authenticator, an den Amazon ECS Agent. .
D'Container Orchestratiounsinstrumenter kommen an engem getrennten Gestiounscontainer deen als Standard aktivéiert ass an duerch den API an AWS SSM Agent geréiert gëtt. D'Basisbild fehlt eng Kommandoshell, e SSH-Server an interpretéiert Sproochen (zum Beispill kee Python oder Perl) - administrativ an Debugging-Tools ginn an e separaten Servicecontainer geplënnert, deen als Standard deaktivéiert ass.
De Schlësselunterscheed vun ähnlechen Verdeelungen wéi Fedora CoreOS, CentOS / Red Hat Atomic Host ass de primäre Fokus fir maximal Sécherheet am Kontext vun der Stäerkung vum Systemschutz géint méiglech Bedrohungen ze stäerken, d'Ausbeutung vu Schwachstelle bei OS Komponenten ze komplizéieren an d'Containerisolatioun ze erhéijen. Container ginn erstallt mat de reguläre Mechanismen vum Linux Kernel - cgroups, namespaces a seccomp. Fir zousätzlech Isolatioun benotzt d'Verdeelung SELinux am "enforcement" Modus.
D'Root-Partition ass am Read-only Modus montéiert, an d'Partition mat /etc-Astellunge gëtt an tmpfs montéiert an no engem Restart op säin ursprénglechen Zoustand restauréiert. Direkt Ännerung vun Dateien am /etc Verzeichnis, wéi /etc/resolv.conf an /etc/containerd/config.toml, gëtt net ënnerstëtzt - fir permanent Astellungen ze späicheren, sollt Dir d'API benotzen oder d'Funktionalitéit op d'Trennung vu Container réckelen. Fir kryptographesch Verifizéierung vun der Integritéit vun der Root-Partition, gëtt den dm-verity-Modul benotzt, a wann e Versuch fir Daten um Block-Apparat-Niveau ze änneren, gëtt de System nei gestart.
Déi meescht Systemkomponente sinn a Rust geschriwwe ginn, wat Erënnerungssécher Tools ubitt fir Schwachstelle ze vermeiden verursaacht duerch Adresséierung vun engem Erënnerungsberäich nodeems se befreit gouf, Nullpointer ofgeleent a Pufferiwwerschlag. Wann Dir baut, ginn d'Kompilatiounsmodi "--enable-default-pie" an "--enable-default-ssp" als Standard benotzt fir ausführbar Adressraumrandomiséierung (PIE) a Schutz géint Stack Iwwerfloss duerch Kanaresch Labelsubstitutioun z'erméiglechen. Fir Packagen, déi an C/C++ geschriwwe sinn, sinn d'"-Wall", "-Werror=format-Security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" an "-fstack-clash" Fändelen zousätzlech abegraff - Schutz.
An der neier Verëffentlechung:
- Zwee nei Verdeelungsoptiounen aws-k8s-1.20 a vmware-k8s-1.20 mat Ënnerstëtzung fir Kubernetes 1.20 goufen proposéiert. Dës Varianten, wéi och déi aktualiséiert Versioun aws-ecs-1, benotzen déi nei Linux Kernel 5.10 Verëffentlechung. De Sperrmodus ass par défaut op "Integritéit" gesat (Fähigkeiten, déi et erlaben Ännerungen un de lafende Kernel aus dem Benotzerraum ze maachen sinn blockéiert). Ënnerstëtzung fir d'aws-k8s-1.15 Variant baséiert op Kubernetes 1.15 gouf gestoppt.
- Amazon ECS ënnerstëtzt den awsvpc Netzwierkmodus, deen Iech erlaabt separat Netzwierkschnëttplazen an intern IP Adressen fir all Aufgab ze verdeelen.
- Astellunge bäigefüügt fir verschidde Kubernetes Parameteren ze kontrolléieren, dorënner QPS, Poollimiten, an d'Fäegkeet fir mat anere Cloud Provider wéi AWS ze verbannen.
- De Bootstrap Container bitt Restriktioun vum Zougang zu Benotzerdaten mat SELinux.
- Added resize2fs Utility.
Source: opennet.ru