Kumpanija Amazon l-ewwel rilaxx sinifikanti ta 'distribuzzjoni Linux dedikata , iddisinjat biex imexxi kontenituri iżolati b'mod effiċjenti u sigur. L-għodod u l-komponenti tal-kontroll tad-distribuzzjoni huma miktuba b'Rut u taħt liċenzji MIT u Apache 2.0. Il-proġett qed jiġi żviluppat fuq GitHub u huwa disponibbli għall-parteċipazzjoni mill-membri tal-komunità. L-immaġni tal-iskjerament tas-sistema hija ġġenerata għall-arkitetturi x86_64 u Aarch64. L-OS huwa adattat biex jaħdem fuq clusters Amazon ECS u AWS EKS Kubernetes. għodod għall-ħolqien ta 'assemblaġġi u edizzjonijiet tiegħek stess, li jistgħu jużaw għodod oħra ta' orkestrazzjoni, qlub u runtime għall-kontenituri.
Id-distribuzzjoni tipprovdi l-qalba tal-Linux u ambjent tas-sistema minimu, inklużi biss il-komponenti meħtieġa biex imexxu l-kontenituri. Fost il-pakketti involuti fil-proġett hemm il-maniġer tas-sistema systemd, il-librerija Glibc, u l-għodod tal-assemblaġġ
Buildroot, bootloader GRUB, konfiguratur tan-netwerk , runtime għal kontenituri iżolati , pjattaforma tal-orkestrazzjoni tal-kontejners Kubernetes, aws-iam-authenticator, u aġent Amazon ECS.
Id-distribuzzjoni hija aġġornata atomikament u titwassal fil-forma ta 'immaġni tas-sistema indiviżibbli. Żewġ diviżorji tad-disk huma allokati għas-sistema, li waħda minnhom fiha s-sistema attiva, u l-aġġornament jiġi kkupjat għat-tieni. Wara li l-aġġornament jiġi skjerat, it-tieni partizzjoni ssir attiva, u fl-ewwel, sakemm jasal l-aġġornament li jmiss, tiġi ffrankata l-verżjoni preċedenti tas-sistema, li għaliha tista 'tgerrab lura jekk jinqalgħu problemi. L-aġġornamenti huma installati awtomatikament mingħajr intervent tal-amministratur.
Id-differenza ewlenija minn distribuzzjonijiet simili bħal Fedora CoreOS, CentOS/Red Hat Atomic Host hija l-fokus primarju li jipprovdi fil-kuntest tat-tisħiħ tal-protezzjoni tas-sistema minn theddid possibbli, li jagħmilha aktar diffiċli biex jiġu sfruttati vulnerabbiltajiet fil-komponenti tal-OS u jiżdied l-iżolament tal-kontenituri. Kontenituri huma maħluqa bl-użu ta 'mekkaniżmi standard tal-kernel Linux - cgroups, namespaces u seccomp. Għal iżolament addizzjonali, id-distribuzzjoni tuża SELinux fil-modalità "infurzar", u l-modulu jintuża għall-verifika kriptografika tal-integrità tal-partizzjoni tal-għeruq . Jekk jinstab tentattiv biex timmodifika d-dejta fil-livell tal-apparat tal-blokk, is-sistema terġa 'tibda.
Il-partizzjoni tal-għeruq hija mmuntata għall-qari biss, u l-partizzjoni tas-settings /etc hija mmuntata f'tmpfs u rrestawrata għall-istat oriġinali tagħha wara li terġa 'tibda. Il-modifika diretta tal-fajls fid-direttorju /etc, bħal /etc/resolv.conf u /etc/containerd/config.toml, mhix appoġġjata - biex issalva b'mod permanenti s-settings, trid tuża l-API jew tmexxi l-funzjonalità f'kontenituri separati.
Il-biċċa l-kbira tal-komponenti tas-sistema huma miktuba f'Rut, li jipprovdi karatteristiċi siguri għall-memorja biex jiġu evitati vulnerabbiltajiet ikkawżati minn aċċessi għall-memorja wara ħielsa, dereferences null tal-pointer, u buffer overruns. Meta tinbena awtomatikament, il-modi ta’ kumpilazzjoni “--enable-default-pie” u “--enable-default-ssp” jintużaw biex jippermettu r-randomizzazzjoni tal-ispazju tal-indirizzi tal-fajls eżekutibbli () u protezzjoni ta 'overflow tal-munzell permezz ta' sostituzzjoni tal-kanarji.
Għal pakketti miktuba f'C/C++, huma inklużi bnadar addizzjonali
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" u "-fstack-clash-protection".
Għodod għall-orkestrazzjoni tal-kontenituri huma fornuti separatament , li hija attivata awtomatikament u kkontrollata permezz u AWS SSM Aġent. L-immaġni bażi m'għandhiex qoxra tal-kmand, server SSH u lingwi interpretati (pereżempju, l-ebda Python jew Perl) - għodod amministrattivi u għodod ta' debugging jinsabu f' , li hija diżattivata b'mod awtomatiku.
Sors: opennet.ru