Il-ħarġa ġiet ippubblikata LinuxBottlerocket 1.3.0, distribuzzjoni żviluppata fi sħubija ma' Amazon, hija mfassla biex tħaddem kontejners iżolati b'mod effiċjenti u sigur. L-għodod u l-komponenti tal-kontroll tad-distribuzzjoni huma miktuba f'Rust u liċenzjati taħt il-liċenzji MIT u Apache 2.0. Bottlerocket jaħdem fuq clusters ta' Amazon ECS, VMware, u AWS EKS Kubernetes, kif ukoll jappoġġja builds u edizzjonijiet apposta li jappoġġjaw l-użu ta' diversi għodod ta' orkestrazzjoni u runtime tal-kontejners.
Id-distribuzzjoni tipprovdi immaġni tas-sistema indiviżibbli aġġornata atomikament u awtomatikament, inkluż il-kernel Linux u ambjent minimu tas-sistema, li jinkludi biss il-komponenti meħtieġa għat-tħaddim tal-kontejners. Dan l-ambjent jinkludi l-maniġer tas-sistema systemd, il-librerija Glibc, il-katina tal-għodda tal-bini Buildroot, il-bootloader GRUB, il-konfiguratur tan-netwerk wicked, ir-runtime containerd għal kontejners iżolati, il-pjattaforma tal-orkestrazzjoni tal-kontejners Kubernetes, l-awtentikatur aws-iam-authenticator, u l-aġent Amazon ECS.
L-għodod tal-orkestrazzjoni tal-kontejners jitwasslu f'kontejner ta' ġestjoni separat, li huwa attivat awtomatikament u ġestit permezz tal-API u l-Aġent AWS SSM. L-immaġni bażi ma tinkludix shell tal-kmand. server SSH u lingwi interpretati (eż. l-ebda Python jew Perl) - l-għodod ta' amministrazzjoni u debugging jinsabu f'kontenitur tas-servizz separat, li huwa diżattivat awtomatikament.
Id-differenza ewlenija minn distribuzzjonijiet simili bħal Fedora CoreOS hija CentOSRed Hat Atomic Host huwa primarjament iffukat fuq li jipprovdi sigurtà massima billi jtejjeb il-protezzjoni tas-sistema kontra theddid potenzjali, jikkomplika l-isfruttament ta' vulnerabbiltajiet fil-komponenti tal-OS, u jżid l-iżolament tal-kontejners. Il-kontejners huma maħluqa bl-użu ta' mekkaniżmi tal-kernel nattivi. Linux — cgroups, namespaces, u seccomp. Għal iżolament addizzjonali, id-distribuzzjoni tuża SELinux fil-modalità ta' "infurzar".
Il-partizzjoni tal-għeruq hija mmuntata għall-qari biss, u l-partizzjoni tas-settings /etc hija mmuntata f'tmpfs u rrestawrata għall-istat oriġinali tagħha wara li terġa 'tibda. Il-modifika diretta tal-fajls fid-direttorju /etc, bħal /etc/resolv.conf u /etc/containerd/config.toml, mhix appoġġata - biex issalva b'mod permanenti s-settings, trid tuża l-API jew tmexxi l-funzjonalità f'kontenituri separati. Il-modulu dm-verity jintuża biex jivverifika b'mod kriptografiku l-integrità tal-partizzjoni tal-għeruq, u jekk jinstab tentattiv biex tiġi mmodifikata d-dejta fil-livell tal-apparat tal-blokk, is-sistema terġa 'tibda.
Il-biċċa l-kbira tal-komponenti tas-sistema huma miktuba f'Rut, li jipprovdi karatteristiċi siguri għall-memorja biex jiġu evitati vulnerabbiltajiet ikkawżati minn aċċessi għall-memorja wara ħielsa, dereferences null tal-pointer, u buffer overruns. Meta tinbena b'mod awtomatiku, il-modi ta 'kumpilazzjoni "-enable-default-pie" u "-enable-default-ssp" jintużaw biex jippermettu randomizzazzjoni tal-ispazju tal-indirizz tal-fajl eżekutibbli (PIE) u protezzjoni kontra l-overflows tal-munzell permezz tas-sostituzzjoni tal-kanarji. Għal pakketti miktuba f'C/C++, il-bnadar “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” u “-fstack-clash” huma addizzjonalment ppermettiet -protezzjoni".
Fir-rilaxx il-ġdid:
- Vulnerabbiltajiet fissi fl-għodod docker u runtime containerd (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relatati mal-issettjar ħażin tad-drittijiet tal-aċċess, li ppermettew lill-utenti mhux privileġġjati jmorru lil hinn mill-bażi direttorju u tesegwixxi programmi esterni.
- Miżjud ma' kubelet u pluto Appoġġ għall-IPv6.
- Huwa possibbli li terġa 'tibda l-kontenitur wara li tbiddel is-settings tiegħu.
- L-appoġġ għall-istanzi tal-Amazon EC2 M6i ġie miżjud mal-pakkett eni-max-pods.
- Open-vm-tools żied l-appoġġ għall-filtri tal-apparat, ibbażat fuq is-sett tal-għodda Cilium.
- Għall-pjattaforma x86_64, mod ibridu tal-ibbutjar huwa implimentat (b'appoġġ għal EFI u BIOS).
- Verżjonijiet u dipendenzi tal-pakketti aġġornati għal-lingwa Rust.
- L-appoġġ għall-varjant tad-distribuzzjoni aws-k8s-1.17 ibbażat fuq Kubernetes 1.17 twaqqaf. Huwa rakkomandat li tuża l-verżjoni aws-k8s-1.21 b'appoġġ għal Kubernetes 1.21. Il-varjanti k8s jużaw is-settings cgroup runtime.slice u system.slice.
Sors: opennet.ru
