D'Verëffentlechung vun der Bottlerocket 1.3.0 Linux Verdeelung gouf publizéiert, entwéckelt mat der Participatioun vun Amazon fir effektiv a sécher isoléiert Container ze lafen. D'Toolkit a Kontrollkomponente vun der Verdeelung sinn a Rust geschriwwen a verdeelt ënner der MIT an Apache 2.0 Lizenzen. Et ënnerstëtzt Bottlerocket op Amazon ECS, VMware, an AWS EKS Kubernetes Cluster ze lafen, souwéi personaliséiert Builds an Editiounen ze kreéieren déi verschidde Orchesteréierungs- a Runtime-Tools fir Container erlaben.
D'Verdeelung liwwert en atomesch an automatesch aktualiséiert ondeelbar Systembild, deen den Linux Kernel an e minimale Systemëmfeld enthält, deen nëmmen déi Komponenten enthält déi néideg sinn fir Container ze lafen. D'Ëmfeld enthält de Systemd System Manager, d'Glibc Bibliothéik, de Buildroot Build Tool, de GRUB Bootloader, de wicked Network Configurator, de Containerd isoléiert Container Runtime, d'Kubernetes Container Orchestratiounsplattform, den aws-iam-Authenticator, an den Amazon ECS Agent. .
D'Container Orchestratiounsinstrumenter kommen an engem getrennten Gestiounscontainer deen als Standard aktivéiert ass an duerch den API an AWS SSM Agent geréiert gëtt. D'Basisbild fehlt eng Kommandoshell, e SSH-Server an interpretéiert Sproochen (zum Beispill kee Python oder Perl) - administrativ an Debugging-Tools ginn an e separaten Servicecontainer geplënnert, deen als Standard deaktivéiert ass.
De Schlësselunterscheed vun ähnlechen Verdeelungen wéi Fedora CoreOS, CentOS / Red Hat Atomic Host ass de primäre Fokus fir maximal Sécherheet am Kontext vun der Stäerkung vum Systemschutz géint méiglech Bedrohungen ze stäerken, d'Ausbeutung vu Schwachstelle bei OS Komponenten ze komplizéieren an d'Containerisolatioun ze erhéijen. Container ginn erstallt mat de reguläre Mechanismen vum Linux Kernel - cgroups, namespaces a seccomp. Fir zousätzlech Isolatioun benotzt d'Verdeelung SELinux am "enforcement" Modus.
D'Root-Partition ass am Read-only Modus montéiert, an d'Partition mat /etc-Astellunge gëtt an tmpfs montéiert an no engem Restart op säin ursprénglechen Zoustand restauréiert. Direkt Ännerung vun Dateien am /etc Verzeichnis, wéi /etc/resolv.conf an /etc/containerd/config.toml, gëtt net ënnerstëtzt - fir permanent Astellungen ze späicheren, sollt Dir d'API benotzen oder d'Funktionalitéit op d'Trennung vu Container réckelen. Fir kryptographesch Verifizéierung vun der Integritéit vun der Root-Partition, gëtt den dm-verity-Modul benotzt, a wann e Versuch fir Daten um Block-Apparat-Niveau ze änneren, gëtt de System nei gestart.
Déi meescht Systemkomponente sinn a Rust geschriwwe ginn, wat Erënnerungssécher Tools ubitt fir Schwachstelle ze vermeiden verursaacht duerch Adresséierung vun engem Erënnerungsberäich nodeems se befreit gouf, Nullpointer ofgeleent a Pufferiwwerschlag. Wann Dir baut, ginn d'Kompilatiounsmodi "--enable-default-pie" an "--enable-default-ssp" als Standard benotzt fir ausführbar Adressraumrandomiséierung (PIE) a Schutz géint Stack Iwwerfloss duerch Kanaresch Labelsubstitutioun z'erméiglechen. Fir Packagen, déi an C/C++ geschriwwe sinn, sinn d'"-Wall", "-Werror=format-Security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" an "-fstack-clash" Fändelen zousätzlech abegraff - Schutz.
An der neier Verëffentlechung:
- Fixéiert Schwachstelle bei Docker a Runtime Containerd Tools (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) verbonne mat falschen Astellung vun Zougangsrechter, déi onprivilegéiert Benotzer erlaabt hunn iwwer d'Basis ze goen Verzeechnes an ausféieren extern Programmer.
- IPv6 Support gouf op Kubelet a Pluto bäigefüügt.
- Et ass méiglech de Container nei ze starten nodeems Dir seng Astellunge geännert huet.
- Ënnerstëtzung fir Amazon EC2 M6i Instanzen gouf zum eni-max-pods Package bäigefüügt.
- Open-vm-tools huet Ënnerstëtzung fir Apparatfilter bäigefüügt, baséiert op dem Cilium Toolkit.
- Fir d'x86_64 Plattform gëtt en Hybrid Bootmodus implementéiert (mat Ënnerstëtzung fir EFI an BIOS).
- Aktualiséiert Package Versiounen an Ofhängegkeete fir d'Rust Sprooch.
- Ënnerstëtzung fir d'Verdeelungsvariant aws-k8s-1.17 baséiert op Kubernetes 1.17 gouf gestoppt. Et ass recommandéiert d'aws-k8s-1.21 Versioun mat Ënnerstëtzung fir Kubernetes 1.21 ze benotzen. D'k8s Varianten benotzen d'cgroup runtime.slice a system.slice Astellunge.
Source: opennet.ru