D'Verëffentlechung vun der Linux Verdeelung Bottlerocket 1.2.0 ass verfügbar, entwéckelt mat der Participatioun vun Amazon fir den effizienten a séchere Start vun isoléierte Container. D'Verdeelungstools a Kontrollkomponente ginn a Rust geschriwwen a verdeelt ënner de MIT an Apache 2.0 Lizenzen. Et ënnerstëtzt Bottlerocket op Amazon ECS, VMware an AWS EKS Kubernetes Cluster, wéi och personaliséiert Builds an Editiounen ze kreéieren déi d'Benotzung vu verschiddenen Orchestratiouns- a Runtime-Tools fir Container erlaben.
D'Verdeelung liwwert en atomesch an automatesch aktualiséiert ondeelbar Systembild, deen den Linux Kernel an e minimale Systemëmfeld enthält, deen nëmmen déi Komponenten enthält déi néideg sinn fir Container ze lafen. D'Ëmfeld enthält de Systemd System Manager, d'Glibc Bibliothéik, de Buildroot Build Tool, de GRUB Bootloader, de wicked Network Configurator, de Containerd isoléiert Container Runtime, d'Kubernetes Container Orchestratiounsplattform, den aws-iam-Authenticator, an den Amazon ECS Agent. .
D'Container Orchestratiounsinstrumenter kommen an engem getrennten Gestiounscontainer deen als Standard aktivéiert ass an duerch den API an AWS SSM Agent geréiert gëtt. D'Basisbild fehlt eng Kommandoshell, e SSH-Server an interpretéiert Sproochen (zum Beispill kee Python oder Perl) - administrativ an Debugging-Tools ginn an e separaten Servicecontainer geplënnert, deen als Standard deaktivéiert ass.
De Schlësselunterscheed vun ähnlechen Verdeelungen wéi Fedora CoreOS, CentOS / Red Hat Atomic Host ass de primäre Fokus fir maximal Sécherheet am Kontext vun der Stäerkung vum Systemschutz géint méiglech Bedrohungen ze stäerken, d'Ausbeutung vu Schwachstelle bei OS Komponenten ze komplizéieren an d'Containerisolatioun ze erhéijen. Container ginn erstallt mat de reguläre Mechanismen vum Linux Kernel - cgroups, namespaces a seccomp. Fir zousätzlech Isolatioun benotzt d'Verdeelung SELinux am "enforcement" Modus.
D'Root-Partition ass am Read-only Modus montéiert, an d'Partition mat /etc-Astellunge gëtt an tmpfs montéiert an no engem Restart op säin ursprénglechen Zoustand restauréiert. Direkt Ännerung vun Dateien am /etc Verzeichnis, wéi /etc/resolv.conf an /etc/containerd/config.toml, gëtt net ënnerstëtzt - fir permanent Astellungen ze späicheren, sollt Dir d'API benotzen oder d'Funktionalitéit op d'Trennung vu Container réckelen. Fir kryptographesch Verifizéierung vun der Integritéit vun der Root-Partition, gëtt den dm-verity-Modul benotzt, a wann e Versuch fir Daten um Block-Apparat-Niveau ze änneren, gëtt de System nei gestart.
Déi meescht Systemkomponente sinn a Rust geschriwwe ginn, wat Erënnerungssécher Tools ubitt fir Schwachstelle ze vermeiden verursaacht duerch Adresséierung vun engem Erënnerungsberäich nodeems se befreit gouf, Nullpointer ofgeleent a Pufferiwwerschlag. Wann Dir baut, ginn d'Kompilatiounsmodi "--enable-default-pie" an "--enable-default-ssp" als Standard benotzt fir ausführbar Adressraumrandomiséierung (PIE) a Schutz géint Stack Iwwerfloss duerch Kanaresch Labelsubstitutioun z'erméiglechen. Fir Packagen, déi an C/C++ geschriwwe sinn, sinn d'"-Wall", "-Werror=format-Security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" an "-fstack-clash" Fändelen zousätzlech abegraff - Schutz.
An der neier Verëffentlechung:
- Zousätzlech Ënnerstëtzung fir Container Image Registry Spigelen.
- D'Fäegkeet bäigefüügt fir selbst ënnerschriwwene Certificaten ze benotzen.
- Zousätzlech Optioun fir den Hostnumm ze konfiguréieren.
- D'Standardversioun vum administrativen Container gouf aktualiséiert.
- Zousätzlech TopologyManagerPolicy an TopologyManagerScope Astellunge fir kubelet.
- Zousätzlech Ënnerstëtzung fir Kernel Kompressioun mam zstd Algorithmus.
- D'Kapazitéit fir virtuell Maschinnen an VMware am OVA (Open Virtualization Format) Format ze lueden gëtt zur Verfügung gestallt.
- D'Verdeelungsversioun aws-k8s-1.21 gouf mat Ënnerstëtzung fir Kubernetes 1.21 aktualiséiert. Ënnerstëtzung fir aws-k8s-1.16 gouf gestoppt.
- Aktualiséiert Package Versiounen an Ofhängegkeete fir d'Rust Sprooch.
Source: opennet.ru