Издавање на Bottlerocket 1.1, дистрибуција базирана на изолирани контејнери

Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.

Дистрибуцијата обезбедува атомски и автоматски ажурирана неделива системска слика која го вклучува кернелот на Линукс и минимална системска околина, вклучувајќи ги само компонентите неопходни за извршување на контејнерите. Околината вклучува системски менаџер, библиотека Glibc, алатка за градење Buildroot, подигнувач GRUB, зли мрежен конфигуратор, време на траење на контејнери за изолирани контејнери, платформа за оркестрација на контејнери Kubernetes, aws-iam-authenticator и Amazon ECS агент.

Алатките за оркестрација на контејнери доаѓаат во посебен контејнер за управување што е стандардно овозможен и управуван преку API и AWS SSM агент. Основната слика нема командна школка, SSH сервер и толкувани јазици (на пример, без Python или Perl) - административните алатки и алатките за дебагирање се сместени во посебен контејнер за услуги, кој стандардно е оневозможен.

Клучната разлика од сличните дистрибуции како Fedora CoreOS, CentOS/Red Hat Atomic Host е примарниот фокус на обезбедување максимална безбедност во контекст на зајакнување на заштитата на системот од можни закани, што го отежнува искористувањето на ранливостите во компонентите на оперативниот систем и зголемувањето на изолацијата на контејнерите. . Контејнерите се креираат со користење на стандардни механизми на кернелот на Линукс - cgroups, именски простори и seccomp. За дополнителна изолација, дистрибуцијата користи SELinux во режимот „спроведување“.

Коренската партиција е монтирана само за читање, а партицијата за поставки /etc се монтира во tmpfs и се враќа во првобитната состојба по рестартирање. Директната промена на датотеките во директориумот /etc, како што се /etc/resolv.conf и /etc/containerd/config.toml, не е поддржана - за трајно да ги зачувате поставките, мора да го користите API или да ја преместите функционалноста во посебни контејнери. Модулот dm-verity се користи за криптографска проверка на интегритетот на root партицијата и ако се открие обид за измена на податоците на ниво на блок уред, системот се рестартира.

Повеќето компоненти на системот се напишани во Rust, кој обезбедува функции безбедни за меморија за да се избегнат пропусти предизвикани од последователен пристап до меморијата, дереференции на нула покажувач и пречекорувања на баферот. При стандардно градење, режимите на компајлирање „-enable-default-pie“ и „-enable-default-ssp“ се користат за да се овозможи рандомизација на просторот за адреси на извршна датотека (PIE) и заштита од прелевање на магацинот преку замена на канари. За пакетите напишани во C/C++, знаменцата „-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ и „-fstack-clash“ се дополнително овозможено -заштита“.

Во новото издание:

• Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
• Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
• Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
• В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
• Добавлена утилита resize2fs.

Извор: opennet.ru