Linux ááŒáá·áºááŒá°ážáá±áž Bottlerocket 1.2.0 ááᯠáá®ážááá·áºááœá²áá¬ážáá±á¬ ááœááºááááºáá¬áá»á¬áž áááá±á¬ááºá áœá¬ááŸáá·áº áá¯á¶ááŒá¯á¶á áœá¬ ááœáŸáá·áºáááºáááºá¡ááœáẠAmazon á áá°ážáá±á«ááºážáá«áááºááŸá¯ááŒáá·áº áá®ááœááºáá¯ááºáá¯ááºáá¬ážáá«áááºá ááŒáá·áºááŒá°ážááŸá¯á áááááá¬áá»á¬ážááŸáá·áº ááááºážáá»á¯ááºááŸá¯ á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠRust ááŒáá·áº áá±ážáá¬ážáá¬ážááŒá®áž MIT ááŸáá·áº Apache 2.0 ááá¯ááºá ááºáá»á¬ážá¡á±á¬ááºááœáẠááŒáá·áºáá±áá¬ážáááºá áááºážááẠAmazon ECSá VMware ááŸáá·áº AWS EKS Kubernetes á¡á á¯á¡áá±ážáá»á¬ážááœáẠBottlerocket ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž ááœááºááááºáá¬áá»á¬ážá¡ááœáẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ á á¯á ááºážááŸá¯ááŸáá·áº runtime áá°ážááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáá±ážááá·áº á áááºááŒáá¯ááºáááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº áááºážááŒááºááŸá¯áá»á¬ážááᯠáááºáá®ážáá±ážáááºá
ááŒáá·áºááŒá°ážááŸá¯ááẠááœááºááááºáá¬áá»á¬ážáááºáááºááẠááá¯á¡ááºáá±á¬ á¡á áááºá¡ááá¯ááºážáá»á¬áž á¡áá«á¡ááẠLinux kernel ááŸáá·áº á¡áááºážáááºáá»áŸáá±á¬ á áá áºáááºáááºážáá»áẠáá«áááºáá±á¬ á¡ááºáááºááŸáá·áº á¡ááá¯á¡áá»á±á¬áẠááœááºážáá¶áá¬ážáá±á¬ ááœá²ááŒá¬ážááá¯ááºáá±á¬ á áá áºáá¯á¶áá áºáá¯á¶ááᯠáá¶á·ááá¯ážáá±ážáá«áááºá áááºáááºážáá»ááºááœáẠsystemd á áá áºáááºáá±áá»á¬á Glibc á á¬ááŒáá·áºááá¯ááºá Buildroot áááºáá±á¬ááºáá±ážáááááá¬á GRUB boot loaderá ááá¯ážááœááºážáá±á¬ network configuratorá áá®ážááŒá¬ážááœááºááááºáá¬áá»á¬ážá¡ááœáẠcontainerd runtimeá Kubernetes container orchestration platformá aws-iam-authenticator ááŸáá·áº Amazon ECS á¡á±ážáá»áá·áºá
Container orchestration tools áá»á¬ážááẠAPI ááŸáá·áº AWS SSM Agent ááŸáááá·áº default á¡áá±ááŒáá·áº ááœáá·áºáá¬ážááá·áº áá®ážááŒá¬ážá á®áá¶ááá·áºááœá²ááŸá¯ ááœááºááááºáá¬ááœáẠáá¬áá«áááºá á¡ááŒá±áá¶áá¯á¶ááœáẠcommand shellá SSH áá¬áá¬ááŸáá·áº áá¬áá¬ááŒááºáá¬ážáá±á¬ áá¬áá¬á áá¬ážáá»á¬áž áááŸááá« (á¥ááá¬á Python ááá¯á·ááá¯áẠPerl ááá«) - á á®áá¶ááá·áºááœá²áá±ážáááááá¬áá»á¬ážááŸáá·áº á¡ááŸá¬ážááŸá¬ááŒááºááá·áºáááááá¬áá»á¬ážááᯠáá°áááºážá¡ááá¯ááºáž ááááºáá¬ážááá·áº áá®ážááŒá¬ážáááºáá±á¬ááºááŸá¯ááœááºááááºáá¬ááœáẠáá¬ážááŸááá¬ážáááºá
Fedora CoreOSá CentOS/Red Hat Atomic Host áá²á·ááá¯á·áá±á¬ á¡áá¬ážáá° ááŒáá·áºááŒá°ážááŸá¯áá»á¬ážá០á¡ááá ááœá¬ááŒá¬ážáá»ááºááŸá¬ ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážá០á áá áºáá¬ááœááºááŸá¯ááᯠá¡á¬ážáá±á¬ááºážá á±ááá·áº á¡ááŒá±á¡áá±ááœáẠá¡ááŒáá·áºáá¯á¶ážáá¯á¶ááŒá¯á¶áá±ážááᯠáá±ážáá±á¬ááºááẠá¡ááá á¡á¬áá¯á¶á áá¯ááºáá¬ážááŒá®áž OS á¡á áááºá¡ááá¯ááºážáá»á¬ážááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáá»áááºááŸáá·áº ááœááºááááºáᬠáá®ážááŒá¬ážááœá²áá¬ážááŸá¯ááᯠááá¯ážááŒáŸáá·áºááẠááá¯ááá¯áááºáá²á á±áááºá . ááœááºááááºáá¬áá»á¬ážááᯠáá¯á¶ááŸáẠLinux kernel ááá¹ááá¬ážáá»á¬áž - cgroupsá namespaces ááŸáá·áº seccomp ááá¯á·ááᯠá¡áá¯á¶ážááŒá¯á áááºáá®ážáá¬ážáááºá áá±á¬ááºááẠáá®ážááŒá¬ážááœá²ááœááºááŒááºážá¡ááœááºá ááŒáá·áºááŒá°ážááŸá¯ááẠ"ááá¯ááºáá¬ááŸá¯" áá¯ááºááœáẠSELinux ááᯠá¡áá¯á¶ážááŒá¯áááºá
root partition ááᯠread-only ááœááºáááºáááºáá¬ážááŒá®áž /etc settings partition ááᯠtmpfs ááœááºáááºáááºáá¬ážááŒá®áž ááŒááºáááºá áááºááŒá®ážáá±á¬áẠáááºážááá°áá¡ááŒá±á¡áá±ááá¯á· ááŒááºáááºáá±á¬ááºááŸáááœá¬ážáá«áááºá /etc/resolv.conf ááŸáá·áº /etc/containerd/config.toml áá²á·ááá¯á·áá±á¬ /etc directory ááŸá ááá¯ááºáá»á¬ážá ááá¯ááºááá¯ááºááœááºážáá¶ááŸá¯ááᯠáá¶á·ááá¯ážááá¬ážáá«á - áááºáááºáá»á¬ážááᯠá¡ááŒá®ážááá¯ááºááááºážáááºážáááºá áááºááẠAPI ááᯠá¡áá¯á¶ážááŒá¯áááẠááá¯á·ááá¯áẠáá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠáá®ážááŒá¬áž ááœááºááááºáá¬áá»á¬ážááá¯á· ááœáŸá±á·ááá«áááºá dm-verity module ááᯠroot partition á ááŸááºáááºááŸá¯ááᯠáá¯ááºááŸááºáá¬ážááẠá¡áá¯á¶ážááŒá¯ááŒá®áž ááááºááá¯á·ááá·áº á ááºáá á¹á ááºážá¡ááá·áºááœáẠá¡áá»ááºá¡áááºááœááºážáá¶ááẠááŒáá¯ážáááºážááŸá¯á¡á¬áž ááœá±á·ááŸááá«áá á áá áºááẠááŒááºáááºá áááºáááºááŒá áºáááºá
á áá áºá¡á áááºá¡ááá¯ááºážá¡áá»á¬ážá á¯ááᯠRust ááœááºáá±ážáá¬ážáá«áááºá áááºážááẠá¡ááá²á·ááŸááºáá¬ááºáááºáá±á¬ááºááŸá¯áá»á¬ážá null pointer dereferences ááŸáá·áº buffer overruns áá»á¬ážááŒá±á¬áá·áºááŒá áºáááá·áº á¡á¬ážáááºážáá»ááºáá»á¬ážááá¯ááŸá±á¬ááºááŸá¬ážááẠmemory-safe á¡ááºá¹áá«áááºáá»á¬ážááá¯áá±ážáá±á¬ááºáááºá áá¯á¶áá±ááŒáá·áºáááºáá±á¬ááºááá·áºá¡áá«á á á¯á ááºážááŸá¯áá¯áẠ"-enable-default-pie" ááŸáá·áº "-enable-default-ssp" ááᯠexecutable file address space (PIE) á áá»áááºážááŒá¯áá¯ááºááŒááºážááá¯ááœáá·áºáááºááŸáá·áº canary á¡á á¬ážááá¯ážááŒááºážááŒáá·áº stack overflows ááá¯áá¬ááœááºáááºá¡ááœááºá¡áá¯á¶ážááŒá¯áá«áááºá C/C++ ááŒáá·áº áá±ážáá¬ážáá¬ážáá±á¬ áááºáá±á·áá»áºáá»á¬ážá¡ááœááºá â-Wallâá â-Werror=format-securityâá â-Wpá-D_FORTIFY_SOURCE=2âá â-Wpá-D_GLIBCXX_ASSERTIONSâ ááŸáá·áº â-fstack-clashâ á¡áá¶áá»á¬ážá¡ááŒááºá enabled -protection"á
áá¯ááºáá±ááŸá¯á¡áá áºááœááº-
- ááœááºááááºáá¬áá¯á¶ ááŸááºáá¯á¶áááºááŒá±ážáá¯á¶áá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯ áááºááá·áºáá¬ážáááºá
- ááá¯ááºááá¯ááºáá±ážááá¯ážáá¬ážáá±á¬ áááºááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº á áœááºážáááºááᯠááá·áºááœááºážáá¬ážáááºá
- áááºáá¶áá°á¡áááºááᯠá á®á ááºáááºááŸááºááẠááœá±ážá áá¬ááᯠáááºááá·áºáá¬ážáááºá
- á á®áá¶ááá·áºááœá²áá±ážááœááºááááºáá¬á áá°áááºážáá¬ážááŸááºážááᯠá¡ááºááááºáá¯ááºááŒá®ážáá«ááŒá®á
- kubelet á¡ááœáẠtopologyManagerPolicy ááŸáá·áº topologyManagerScope áááºáááºáá»á¬áž
- zstd algorithm ááᯠá¡áá¯á¶ážááŒá¯á kernel áá»á¯á¶á·ááŒááºážá¡ááœáẠáá¶á·ááá¯ážááŸá¯ áá±á«ááºážááá·áºáá¬ážáááºá
- OVA (Open Virtualization Format) áá±á¬áºáááºááœáẠVMware áá²ááá¯á· virtual machines áá»á¬ážááᯠáááºááá¯ááºááŸá¯ááᯠáá±ážáá¬ážáááºá
- ááŒáá·áºáá»á®áá±ážáá¬ážááŸááºáž aws-k8s-1.21 ááᯠKubernetes 1.21 á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááŒáá·áº á¡ááºááááºáá¯ááºáá¬ážáááºá aws-k8s-1.16 á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááᯠáááºááá¯ááºážááá¯ááºáá«ááŒá®á
- Rust áá¬áá¬á áá¬ážá¡ááœáẠáááºáá±á·áá»áºáá¬ážááŸááºážáá»á¬ážááŸáá·áº ááŸá®ááá¯ááŸá¯áá»á¬ážááᯠá¡ááºááááºáá¯ááºáá¬ážáááºá
source: opennet.ru