Ġie ppubblikat ir-rilaxx tad-distribuzzjoni Linux Bottlerocket 1.8.0, żviluppat bil-parteċipazzjoni ta 'Amazon għat-tnedija effiċjenti u sigura ta' kontenituri iżolati. L-għodod u l-komponenti tal-kontroll tad-distribuzzjoni huma miktuba bir-Rut u mqassma taħt il-liċenzji MIT u Apache 2.0. Jappoġġa t-tħaddim ta' Bottlerocket fuq clusters ta' Amazon ECS, VMware u AWS EKS Kubernetes, kif ukoll il-ħolqien ta' bini u edizzjonijiet personalizzati li jippermettu l-użu ta' diversi għodod ta' orkestrazzjoni u runtime għall-kontenituri.
Id-distribuzzjoni tipprovdi immaġni tas-sistema indiviżibbli aġġornata atomikament u awtomatikament li tinkludi l-qalba tal-Linux u ambjent tas-sistema minimu, inklużi biss il-komponenti meħtieġa biex jitmexxew il-kontenituri. L-ambjent jinkludi l-maniġer tas-sistema systemd, il-librerija Glibc, l-għodda tal-bini Buildroot, il-boot loader GRUB, il-konfiguratur tan-netwerk wicked, ir-runtime containerd għal kontenituri iżolati, il-pjattaforma tal-orkestrazzjoni tal-kontejners Kubernetes, l-aws-iam-authenticator, u l-Amazon Aġent ECS.
L-għodod tal-orkestrazzjoni tal-kontejners jiġu f'kontenitur ta' ġestjoni separat li huwa attivat awtomatikament u ġestit permezz tal-API u AWS SSM Agent. L-immaġni bażi m'għandhiex qoxra ta 'kmand, server SSH u lingwi interpretati (per eżempju, l-ebda Python jew Perl) - għodod amministrattivi u għodod ta' debugging jitqiegħdu f'kontenitur ta 'servizz separat, li huwa diżattivat awtomatikament.
Id-differenza ewlenija minn distribuzzjonijiet simili bħal Fedora CoreOS, CentOS/Red Hat Atomic Host hija l-enfasi primarja fuq il-provvista ta' sigurtà massima fil-kuntest tat-tisħiħ tal-protezzjoni tas-sistema minn theddid possibbli, li jagħmilha aktar diffiċli biex jiġu sfruttati vulnerabbiltajiet fil-komponenti tal-OS u jiżdied l-iżolament tal-kontenitur. . Kontenituri huma maħluqa bl-użu ta 'mekkaniżmi standard tal-kernel Linux - cgroups, namespaces u seccomp. Għal iżolament addizzjonali, id-distribuzzjoni tuża SELinux fil-modalità "infurzar".
Il-partizzjoni tal-għeruq hija mmuntata għall-qari biss, u l-partizzjoni tas-settings /etc hija mmuntata f'tmpfs u rrestawrata għall-istat oriġinali tagħha wara li terġa 'tibda. Il-modifika diretta tal-fajls fid-direttorju /etc, bħal /etc/resolv.conf u /etc/containerd/config.toml, mhix appoġġata - biex issalva b'mod permanenti s-settings, trid tuża l-API jew tmexxi l-funzjonalità f'kontenituri separati. Il-modulu dm-verity jintuża biex jivverifika b'mod kriptografiku l-integrità tal-partizzjoni tal-għeruq, u jekk jinstab tentattiv biex tiġi mmodifikata d-dejta fil-livell tal-apparat tal-blokk, is-sistema terġa 'tibda.
Il-biċċa l-kbira tal-komponenti tas-sistema huma miktuba f'Rut, li jipprovdi karatteristiċi siguri għall-memorja biex jiġu evitati vulnerabbiltajiet ikkawżati minn aċċessi għall-memorja wara ħielsa, dereferences null tal-pointer, u buffer overruns. Meta tinbena b'mod awtomatiku, il-modi ta 'kumpilazzjoni "-enable-default-pie" u "-enable-default-ssp" jintużaw biex jippermettu randomizzazzjoni tal-ispazju tal-indirizz tal-fajl eżekutibbli (PIE) u protezzjoni kontra l-overflows tal-munzell permezz tas-sostituzzjoni tal-kanarji. Għal pakketti miktuba f'C/C++, il-bnadar “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” u “-fstack-clash” huma addizzjonalment ppermettiet -protezzjoni".
Fir-rilaxx il-ġdid:
- Обновлено содержимое административного и управляющего контейнеров.
- Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
- Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
- Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
- Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
- Предоставлена возможность статической привязки имён хостов в /etc/hosts.
- Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
- Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
- Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
- Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
- Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.
Sors: opennet.ru