Амазон го објавува Bottlerocket 1.0.0, дистрибуција на Linux базирана на изолирани контејнери

Компанијата Амазон презентирани првото значајно издание на посветена дистрибуција на Linux Решетка шише 1.0.0, дизајниран да работи ефикасно и безбедно во изолирани контејнери. Алатките и контролните компоненти на дистрибуцијата се напишани во Rust и ширење под лиценци MIT и Apache 2.0. Проектот се развива на GitHub и е достапен за учество на членовите на заедницата. Сликата за распоредување на системот е генерирана за архитектурите x86_64 и Aarch64. ОС е прилагоден да работи на кластерите Amazon ECS и AWS EKS Kubernetes. Обезбедени се алатки за креирање сопствени склопови и изданија, кои можат да користат други алатки за оркестрација, кернели и време на работа за контејнери.

Дистрибуцијата го обезбедува кернелот на Линукс и минимална системска средина, вклучувајќи ги само компонентите неопходни за извршување на контејнерите. Меѓу пакетите вклучени во проектот се системскиот менаџер систем, библиотеката Glibc и алатките за склопување
Buildroot, подигнувач на GRUB, мрежен конфигуратор Злите, времетраење за изолирани контејнери контејнер, платформа за оркестрација на контејнери Kubernetes, aws-iam-authenticator и агент на Amazon ECS.

Дистрибуцијата се ажурира атомски и се испорачува во форма на неделива системска слика. За системот се распределени две партиции на дискот, од кои едната го содржи активниот систем, а ажурирањето се копира на втората. Откако ќе се распореди ажурирањето, втората партиција станува активна, а во првата, додека не пристигне следното ажурирање, се зачувува претходната верзија на системот, на која можете да се вратите назад доколку се појават проблеми. Ажурирањата се инсталираат автоматски без интервенција на администраторот.

Клучната разлика од слични дистрибуции како што се Fedora CoreOS, CentOS/Red Hat Atomic Host е примарен фокус на обезбедување максимална безбедност во контекст на зајакнување на заштитата на системот од можни закани, што го отежнува искористувањето на пропустите во компонентите на ОС и зголемување на изолацијата на контејнерите. Контејнерите се креираат со користење на стандардни механизми на кернелот на Линукс - cgroups, именски простори и seccomp. За дополнителна изолација, дистрибуцијата користи SELinux во режимот „спроведување“, а модулот се користи за криптографска проверка на интегритетот на root партицијата dm-верност. Ако се открие обид за измена на податоците на ниво на блок уред, системот се рестартира.

Коренската партиција е монтирана само за читање, а партицијата за поставки /etc се монтира во tmpfs и се враќа во првобитната состојба по рестартирање. Директната промена на датотеките во директориумот /etc, како што се /etc/resolv.conf и /etc/containerd/config.toml, не е поддржана - за трајно да ги зачувате поставките, мора да го користите API или да ја преместите функционалноста во посебни контејнери.

Повеќето компоненти на системот се напишани во Rust, кој обезбедува функции безбедни за меморија за да се избегнат пропусти предизвикани од последователен пристап до меморијата, дереференции на нула покажувач и пречекорувања на баферот. Кога се гради стандардно, се користат режимите на компилација „--enable-default-pie“ и „--enable-default-ssp“ за да се овозможи рандомизација на адресниот простор на извршните датотеки (Пита) и заштита од прелевање на оџакот преку замена на канари.
За пакетите напишани во C/C++, вклучени се дополнителни знаменца
„-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ и „-fstack-clash-protection“.

Алатките за оркестрација на контејнери се испорачуваат посебно контролен сад, што е стандардно овозможено и контролирано преку API и AWS SSM агент. Основната слика нема командна школка, SSH сервер и толкувани јазици (на пример, без Python или Perl) - административните алатки и алатките за дебагирање се наоѓаат во посебен сервисен контејнер, што е стандардно оневозможено.

Извор: opennet.ru