рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдиреНрдЯрд░рдиреЗрдЯ рд╕рдорд╛рдЪрд╛рд░ > Bottlerocket 1.3 рдХреЛ рд░рд┐рд▓реАрдЬ, рдкреГрдердХ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВрдорд╛ рдЖрдзрд╛рд░рд┐рдд рд╡рд┐рддрд░рдг

Bottlerocket 1.3 рдХреЛ рд░рд┐рд▓реАрдЬ, рдкреГрдердХ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВрдорд╛ рдЖрдзрд╛рд░рд┐рдд рд╡рд┐рддрд░рдг

рд▓рд┐рдирдХреНрд╕ рд╡рд┐рддрд░рдг Bottlerocket 1.3.0 рдХреЛ рд░рд┐рд▓реАрдЬ рдкреНрд░рдХрд╛рд╢рд┐рдд рдЧрд░рд┐рдПрдХреЛ рдЫ, рдкреГрдердХ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВрдХреЛ рдХреБрд╢рд▓ рд░ рд╕реБрд░рдХреНрд╖рд┐рдд рд╕реБрд░реБрд╡рд╛рддрдХреЛ рд▓рд╛рдЧрд┐ Amazon рдХреЛ рд╕рд╣рднрд╛рдЧрд┐рддрд╛рдорд╛ рд╡рд┐рдХрд╕рд┐рддред рд╡рд┐рддрд░рдгрдХреЛ рдЙрдкрдХрд░рдг рд░ рдирд┐рдпрдиреНрддреНрд░рдг рдХрдореНрдкреЛрдиреЗрдиреНрдЯрд╣рд░реВ Rust рдорд╛ рд▓реЗрдЦрд┐рдПрдХрд╛ рдЫрдиреН рд░ MIT рд░ Apache 2.0 рд▓рд╛рдЗрд╕реЗрдиреНрд╕ рдЕрдиреНрддрд░реНрдЧрдд рд╡рд┐рддрд░рд┐рдд рдЫрдиреНред рдпрд╕рд▓реЗ Amazon ECS, VMware рд░ AWS EKS Kubernetes рдХреНрд▓рд╕реНрдЯрд░рд╣рд░реВрдорд╛ рдЪрд▓рд┐рд░рд╣реЗрдХреЛ Bottlerocket рд╕рдорд░реНрдерди рдЧрд░реНрджрдЫ, рд╕рд╛рдереИ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рд╡рд┐рднрд┐рдиреНрди рдЕрд░реНрдХреЗрд╕реНрдЯреНрд░реЗрд╕рди рд░ рд░рдирдЯрд╛рдЗрдо рдЙрдкрдХрд░рдгрд╣рд░реВрдХреЛ рдкреНрд░рдпреЛрдЧрд▓рд╛рдИ рдЕрдиреБрдорддрд┐ рджрд┐рдиреЗ рдЕрдиреБрдХреВрд▓рди рдирд┐рд░реНрдорд╛рдг рд░ рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫред

рд╡рд┐рддрд░рдгрд▓реЗ рдПрдХ рдкрд░рдорд╛рдгреБ рд░ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдкрдорд╛ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХ рдЧрд░рд┐рдПрдХреЛ рдЕрд╡рд┐рднрд╛рдЬреНрдп рдкреНрд░рдгрд╛рд▓реА рдЫрд╡рд┐ рдкреНрд░рджрд╛рди рдЧрд░реНрджрдЫ рдЬрд╕рд▓реЗ рд▓рд┐рдирдХреНрд╕ рдХрд░реНрдиреЗрд▓ рд░ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВ рдЪрд▓рд╛рдЙрди рдЖрд╡рд╢реНрдпрдХ рдШрдЯрдХрд╣рд░реВ рд╕рд╣рд┐рдд рдиреНрдпреВрдирддрдо рдкреНрд░рдгрд╛рд▓реА рд╡рд╛рддрд╛рд╡рд░рдг рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрджрдЫред рд╡рд╛рддрд╛рд╡рд░рдгрдорд╛ systemd рдкреНрд░рдгрд╛рд▓реА рдкреНрд░рдмрдиреНрдзрдХ, Glibc рдкреБрд╕реНрддрдХрд╛рд▓рдп, Buildroot рдирд┐рд░реНрдорд╛рдг рдЙрдкрдХрд░рдг, GRUB рдмреБрдЯ рд▓реЛрдбрд░, рджреБрд╖реНрдЯ рдиреЗрдЯрд╡рд░реНрдХ рдХрдиреНрдлрд┐рдЧрд░реЗрдЯрд░, рдкреГрдердХ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдХрдиреНрдЯреЗрдирд░ рд░рдирдЯрд╛рдЗрдо, Kubernetes рдХрдиреНрдЯреЗрдирд░ рдЕрд░реНрдХреЗрд╕реНрдЯреНрд░реЗрд╢рди рдкреНрд▓реЗрдЯрдлрд░реНрдо, aws-iam-рдкреНрд░рдорд╛рдгреАрдХрд░рдгрдХрд░реНрддрд╛, рд░ Amazon рд╕рдорд╛рд╡реЗрд╢ рдЫрдиреНред ECS рдПрдЬреЗрдиреНрдЯред

рдХрдиреНрдЯреЗрдирд░ рдЕрд░реНрдХреЗрд╕реНрдЯреНрд░реЗрд╢рди рдЙрдкрдХрд░рдгрд╣рд░реВ рдЫреБрдЯреНрдЯреИ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрди рдХрдиреНрдЯреЗрдирд░рдорд╛ рдЖрдЙрдБрдЫрдиреН рдЬреБрди рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ рд╕рдХреНрд╖рдо рд╣реБрдиреНрдЫ рд░ API рд░ AWS SSM рдПрдЬреЗрдиреНрдЯ рдорд╛рд░реНрдлрдд рд╡реНрдпрд╡рд╕реНрдерд┐рдд рд╣реБрдиреНрдЫред рдЖрдзрд╛рд░ рдЫрд╡рд┐рдорд╛ рдХрдорд╛рдгреНрдб рд╢реЗрд▓, SSH рд╕рд░реНрднрд░ рд░ рд╡реНрдпрд╛рдЦреНрдпрд╛ рдЧрд░рд┐рдПрдХрд╛ рднрд╛рд╖рд╛рд╣рд░реВ рдЫреИрдирдиреН (рдЙрджрд╛рд╣рд░рдгрдХрд╛ рд▓рд╛рдЧрд┐, рдХреБрдиреИ рдкрд╛рдЗрдерди рд╡рд╛ рдкрд░реНрд▓) - рдкреНрд░рд╢рд╛рд╕рдирд┐рдХ рдЙрдкрдХрд░рдгрд╣рд░реВ рд░ рдбрд┐рдмрдЧрд┐рдЩ рдЙрдкрдХрд░рдгрд╣рд░реВ рдЫреБрдЯреНрдЯреИ рд╕реЗрд╡рд╛ рдХрдиреНрдЯреЗрдирд░рдорд╛ рд░рд╛рдЦрд┐рдиреНрдЫрдиреН, рдЬреБрди рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ рдЕрд╕рдХреНрд╖рдо рд╣реБрдиреНрдЫред

Fedora CoreOS, CentOS/Red Hat Atomic Host рдЬрд╕реНрддрд╛ рд╕рдорд╛рди рд╡рд┐рддрд░рдгрд╣рд░реВрдмрд╛рдЯ рдореБрдЦреНрдп рднрд┐рдиреНрдирддрд╛ рднрдиреЗрдХреЛ рд╕рдореНрднрд╛рд╡рд┐рдд рдЦрддрд░рд╛рд╣рд░реВрдмрд╛рдЯ рдкреНрд░рдгрд╛рд▓реА рд╕реБрд░рдХреНрд╖рд╛рд▓рд╛рдИ рд╕реБрджреГрдв рдЧрд░реНрдиреЗ рд╕рдиреНрджрд░реНрднрдорд╛ рдЕрдзрд┐рдХрддрдо рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рджрд╛рди рдЧрд░реНрдирдорд╛ рдкреНрд░рд╛рдердорд┐рдХ рдлреЛрдХрд╕ рд╣реЛ, рдпрд╕рд▓реЗ OS рдХрдореНрдкреЛрдиреЗрдиреНрдЯрд╣рд░реВрдорд╛ рдХрдордЬреЛрд░реАрд╣рд░реВрдХреЛ рд╢реЛрд╖рдг рдЧрд░реНрди рд░ рдХрдиреНрдЯреЗрдирд░ рдкреГрдердХрддрд╛ рдмрдврд╛рдЙрди рдЧрд╛рд╣реНрд░реЛ рдмрдирд╛рдЙрдБрдЫред ред рдХрдиреНрдЯреЗрдирд░рд╣рд░реВ рдорд╛рдирдХ рд▓рд┐рдирдХреНрд╕ рдХрд░реНрдиреЗрд▓ рдореЗрдХрд╛рдирд┐рдЬрдорд╣рд░реВ - cgroups, рдиреЗрдорд╕реНрдкреЗрд╕ рд░ seccomp рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░рд┐рдиреНрдЫред рдердк рдЕрд▓рдЧрд╛рд╡рдХреЛ рд▓рд╛рдЧрд┐, рд╡рд┐рддрд░рдгрд▓реЗ "рд▓рд╛рдЧреВ рдЧрд░реНрдиреЗ" рдореЛрдбрдорд╛ SELinux рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫред

рдореВрд▓ рд╡рд┐рднрд╛рдЬрди рдкрдвреНрди-рдорд╛рддреНрд░ рдорд╛рдЙрдиреНрдЯ рдЧрд░рд┐рдПрдХреЛ рдЫ, рд░ /etc рд╕реЗрдЯрд┐рдЩ рд╡рд┐рднрд╛рдЬрди tmpfs рдорд╛ рдорд╛рдЙрдиреНрдЯ рдЧрд░рд┐рдПрдХреЛ рдЫ рд░ рдкреБрди: рд╕реБрд░реБ рдкрдЫрд┐ рдпрд╕рдХреЛ рдореВрд▓ рд╕реНрдерд┐рддрд┐рдорд╛ рдкреБрдирд░реНрд╕реНрдерд╛рдкрд┐рдд рд╣реБрдиреНрдЫред /etc рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрдорд╛ рдлрд╛рдЗрд▓рд╣рд░реВрдХреЛ рдкреНрд░рддреНрдпрдХреНрд╖ рдкрд░рд┐рдорд╛рд░реНрдЬрди, рдЬрд╕реНрддреИ /etc/resolv.conf рд░ /etc/containerd/config.toml, рд╕рдорд░реНрдерд┐рдд рдЫреИрди - рд╕реЗрдЯрд┐рдЩреНрд╣рд░реВ рд╕реНрдерд╛рдпреА рд░реВрдкрдорд╛ рдмрдЪрдд рдЧрд░реНрди, рддрдкрд╛рдИрдВрд▓реЗ API рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреБрдкрд░реНрдЫ рд╡рд╛ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛рд▓рд╛рдИ рдЫреБрдЯреНрдЯреИ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВрдорд╛ рд╕рд╛рд░реНрдиреБ рдкрд░реНрдЫред dm-verity рдореЛрдбреНрдпреБрд▓ рдХреНрд░рд┐рдкреНрдЯреЛрдЧреНрд░рд╛рдлрд┐рдХ рд░реВрдкрдорд╛ рд░реВрдЯ рд╡рд┐рднрд╛рдЬрдирдХреЛ рдЕрдЦрдгреНрдбрддрд╛ рдкреНрд░рдорд╛рдгрд┐рдд рдЧрд░реНрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ, рд░ рдпрджрд┐ рдмреНрд▓рдХ рдЙрдкрдХрд░рдг рд╕реНрддрд░рдорд╛ рдбрд╛рдЯрд╛ рдкрд░рд┐рдорд╛рд░реНрдЬрди рдЧрд░реНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдкрддреНрддрд╛ рд▓рд╛рдЧреНрдпреЛ рднрдиреЗ, рдкреНрд░рдгрд╛рд▓реА рд░рд┐рдмреБрдЯ рд╣реБрдиреНрдЫред

рдзреЗрд░реИрдЬрд╕реЛ рдкреНрд░рдгрд╛рд▓реА рдХрдореНрдкреЛрдиреЗрдиреНрдЯрд╣рд░реВ Rust рдорд╛ рд▓реЗрдЦрд┐рдПрдХрд╛ рдЫрдиреН, рдЬрд╕рд▓реЗ рдореЗрдореЛрд░реА-рд╕реБрд░рдХреНрд╖рд┐рдд рд╕реБрд╡рд┐рдзрд╛рд╣рд░реВ рдкреНрд░рджрд╛рди рдЧрд░реНрджрдЫ рдЬрд╕рд▓реЗ рдЧрд░реНрджрд╛ рдирд┐:рд╢реБрд▓реНрдХ рдореЗрдореЛрд░реА рдкрд╣реБрдБрдЪрд╣рд░реВ, рдирд▓ рдкреЛрдЗрдиреНрдЯрд░ рдбрд┐рд░реЗрд░реЗрдиреНрд╕реЗрд╕рд╣рд░реВ, рд░ рдмрдлрд░ рдУрднрд░рд░рдирд╣рд░реВрдмрд╛рдЯ рд╣реБрдиреЗ рдЬреЛрдЦрд┐рдорд╣рд░реВрдмрд╛рдЯ рдмрдЪреНрдиред рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ рдирд┐рд░реНрдорд╛рдг рдЧрд░реНрджрд╛, рд╕рдВрдХрд▓рди рдореЛрдбрд╣рд░реВ "-enable-default-pie" рд░ "-enable-default-ssp" рд▓рд╛рдИ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдпреЛрдЧреНрдп рдлрд╛рдЗрд▓ рдареЗрдЧрд╛рдирд╛ рд╕реНрдкреЗрд╕ (PIE) рдХреЛ рдЕрдирд┐рдпрдорд┐рддрддрд╛ рд░ рдХреНрдпрд╛рдирд░реА рдкреНрд░рддрд┐рд╕реНрдерд╛рдкрди рдорд╛рд░реНрдлрдд рд╕реНрдЯреНрдпрд╛рдХ рдУрднрд░рдлреНрд▓реЛрд╣рд░реВ рд╡рд┐рд░реБрджреНрдз рд╕реБрд░рдХреНрд╖рд╛ рд╕рдХреНрд╖рдо рдЧрд░реНрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред C/C++ рдорд╛ рд▓реЗрдЦрд┐рдПрдХрд╛ рдкреНрдпрд╛рдХреЗрдЬрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" рд░ "-fstack-clash" рдердк рд░реВрдкрдорд╛ рдЫрдиреНред рд╕рдХреНрд╖рдо - рд╕реБрд░рдХреНрд╖рд╛"ред

рдирдпрд╛рдБ рд░рд┐рд▓реАрдЬ рдорд╛:

  • рдбрдХрд░ рд░ рд░рдирдЯрд╛рдЗрдо рдХрдиреНрдЯреЗрдирд░ рдЙрдкрдХрд░рдгрд╣рд░реВрдорд╛ рдирд┐рд╢реНрдЪрд┐рдд рдХрдордЬреЛрд░реАрд╣рд░реВ (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) рдкрд╣реБрдБрдЪ рдЕрдзрд┐рдХрд╛рд░рд╣рд░реВрдХреЛ рдЧрд▓рдд рд╕реЗрдЯрд┐рдЩрд╕рдБрдЧ рд╕рдореНрдмрдиреНрдзрд┐рдд рдЫрдиреН, рдЬрд╕рд▓реЗ рдЖрдзрд╛рд░рднреВрдд рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрд▓рд╛рдИ рдЕрдиреБрдорддрд┐ рджрд┐рдпреЛред рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рд░ рдмрд╛рд╣реНрдп рдХрд╛рд░реНрдпрдХреНрд░рдорд╣рд░реВ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЧрд░реНрдиреБрд╣реЛрд╕реНред
  • рдХреБрдмреЗрд▓реЗрдЯ рд░ рдкреНрд▓реБрдЯреЛрдорд╛ IPv6 рд╕рдорд░реНрдерди рдердкрд┐рдПрдХреЛ рдЫред
  • рдХрдиреНрдЯреЗрдирд░ рдпрд╕рдХреЛ рд╕реЗрдЯрд┐рдЩ рдкрд░рд┐рд╡рд░реНрддрди рдкрдЫрд┐ рдкреБрди: рд╕реБрд░реБ рдЧрд░реНрди рд╕рдореНрднрд╡ рдЫред
  • Amazon EC2 M6i рдЙрджрд╛рд╣рд░рдгрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рд╕рдорд░реНрдерди eni-max-pods рдкреНрдпрд╛рдХреЗрдЬрдорд╛ рдердкрд┐рдПрдХреЛ рдЫред
  • Open-vm-tools рд▓реЗ Cilium рдЯреБрд▓рдХрд┐рдЯрдорд╛ рдЖрдзрд╛рд░рд┐рдд рдпрдиреНрддреНрд░ рдлрд┐рд▓реНрдЯрд░рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рд╕рдорд░реНрдерди рдердкреЗрдХреЛ рдЫред
  • x86_64 рдкреНрд▓реЗрдЯрдлрд░реНрдордХреЛ рд▓рд╛рдЧрд┐, рд╣рд╛рдЗрдмреНрд░рд┐рдб рдмреБрдЯ рдореЛрдб рд▓рд╛рдЧреВ рдЧрд░рд┐рдПрдХреЛ рдЫ (EFI рд░ BIOS рдХреЛ рд▓рд╛рдЧрд┐ рд╕рдорд░реНрдердирдХреЛ рд╕рд╛рде)ред
  • рд░рд╕реНрдЯ рднрд╛рд╖рд╛рдХреЛ рд▓рд╛рдЧрд┐ рдкреНрдпрд╛рдХреЗрдЬ рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВ рд░ рдирд┐рд░реНрднрд░рддрд╛рд╣рд░реВ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХ рдЧрд░рд┐рдпреЛред
  • Kubernetes 8 рдорд╛ рдЖрдзрд╛рд░рд┐рдд рд╡рд┐рддрд░рдг рд╕рдВрд╕реНрдХрд░рдг aws-k1.17s-1.17 рдХреЛ рд▓рд╛рдЧрд┐ рд╕рдорд░реНрдерди рдмрдиреНрдж рдЧрд░рд┐рдПрдХреЛ рдЫред Kubernetes 8 рдХреЛ рд▓рд╛рдЧрд┐ рд╕рдорд░реНрдерди рд╕рд╣рд┐рдд aws-k1.21s-1.21 рд╕рдВрд╕реНрдХрд░рдг рдкреНрд░рдпреЛрдЧ рдЧрд░реНрди рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдиреНрдЫред k8s рднреЗрд░рд┐рдпрдиреНрдЯрд╣рд░реВрд▓реЗ cgroup runtime.slice рд░ system.slice рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫред

рд╕реНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди