د لینوکس توزیع Bottlerocket 1.3.0 خپور شوی، د ایمیزون په ګډون د جلا شوي کانټینرونو اغیزمن او خوندي لانچ لپاره رامینځته شوی. د توزیع وسیلې او د کنټرول برخې په زنګ کې لیکل شوي او د MIT او Apache 2.0 جوازونو لاندې ویشل شوي. دا په ایمیزون ECS، VMware او AWS EKS Kubernetes کلسترونو کې د Bottlerocket چلولو ملاتړ کوي، په بیله بیا د دودیز جوړښتونو او نسخو رامینځته کول چې د کانټینرونو لپاره د مختلف آرکیسټریشن او د چلولو وسیلو کارولو ته اجازه ورکوي.
توزیع یو اټومي او په اتوماتيک ډول د نه ویشل شوي سیسټم عکس چمتو کوي چې پکې د لینکس کرنل او لږترلږه سیسټم چاپیریال شامل دي ، پشمول یوازې د کانټینرونو چلولو لپاره اړین برخې. په چاپیریال کې د سیسټمډ سیسټم مدیر، د ګلیبیک کتابتون، د بلډروټ جوړونې وسیله، د GRUB بوټ لوډر، د خراب شبکې ترتیب کوونکی، د جلا شوي کانټینرونو لپاره د کانټینرډ چلولو وخت، د Kubernetes کانټینر آرکیسټریشن پلیټ فارم، aws-iam-authenticator، او Amazon شامل دي. د ECS ایجنټ.
د کانټینر آرکیسټریشن اوزار په جلا مدیریت کانټینر کې راځي چې د ډیفالټ لخوا فعال شوي او د API او AWS SSM اجنټ له لارې اداره کیږي. د بیس عکس د کمانډ شیل ، SSH سرور او تشریح شوي ژبې نلري (د مثال په توګه ، نه Python یا Perl) - اداري اوزار او د ډیبګ کولو وسیلې په جلا خدمت کانټینر کې ځای په ځای شوي ، کوم چې په ډیفالټ غیر فعال دی.
د ورته توزیعونو څخه کلیدي توپیر لکه Fedora CoreOS، CentOS/Red Hat Atomic Host د احتمالي ګواښونو څخه د سیسټم محافظت پیاوړي کولو په شرایطو کې د اعظمي امنیت چمتو کولو باندې لومړني تمرکز دی چې د OS اجزاو کې د زیانونو څخه ګټه پورته کول خورا ستونزمن کوي او د کانټینر انزوا زیاتوالی. . کانټینرونه د معیاري لینکس کرنل میکانیزمونو په کارولو سره رامینځته شوي - cgroups، namespaces او seccomp. د اضافي انزوا لپاره، توزیع SELinux په "تطبيق" حالت کې کاروي.
د روټ ویش یوازې د لوستلو لپاره نصب شوی، او د /etc ترتیباتو ویش په tmpfs کې نصب شوی او د بیا پیل کولو وروسته خپل اصلي حالت ته راستانه کیږي. په /etc ډایرکټر کې د فایلونو مستقیم بدلون، لکه /etc/resolv.conf او /etc/containerd/config.toml، ملاتړ نه کوي - د تل لپاره د ترتیباتو خوندي کولو لپاره، تاسو باید API وکاروئ یا فعالیت په جلا کانټینرونو کې حرکت وکړئ. د dm-verity ماډل په کریپټوګرافیک ډول د روټ برخې بشپړتیا تصدیق کولو لپاره کارول کیږي ، او که چیرې د بلاک وسیلې په کچه د ډیټا بدلولو هڅه وموندل شي ، سیسټم ریبوټ کیږي.
د سیسټم ډیری برخې په Rust کې لیکل شوي، کوم چې د حافظې خوندي ځانګړتیاوې وړاندې کوي ترڅو د وړیا حافظې لاسرسي، نول پوینټر ډیریفرنس، او بفر اوورونونو له امله رامینځته شوي زیانونو مخه ونیسي. کله چې د ډیفالټ لخوا رامینځته کیږي ، د تالیف حالتونه "-enable-default-pie" او "-enable-default-ssp" کارول کیږي ترڅو د اجرا وړ فایل پته ځای (PIE) تصادفي وړ کړي او د کانري بدیل له لارې د سټیک اوور فلو پروړاندې محافظت وکړي. په C/C++ کې لیکل شوي کڅوړو لپاره، بیرغونه "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" او "-fstack-clash" اضافي دي. فعال شوی - محافظت".
په نوې خپرونه کې:
- په ډاکر او د رن ټایم کانټینرډ وسیلو کې ثابت زیانونه (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) د لاسرسي حقونو غلط ترتیب پورې اړه لري ، کوم چې کاروونکو ته اجازه ورکوي چې بې ګټې وي. بهرنۍ برنامې لارښود او اجرا کول.
- د IPv6 ملاتړ کوبلیټ او پلوټو ته اضافه شوی.
- دا ممکنه ده چې کانټینر د تنظیماتو بدلولو وروسته بیا پیل کړئ.
- د ایمیزون EC2 M6i مثالونو لپاره ملاتړ د eni-max-pods بسته کې اضافه شوی.
- Open-vm-tools د وسیلې فلټرونو لپاره ملاتړ اضافه کړی، د Cilium Toolkit پر بنسټ.
- د x86_64 پلیټ فارم لپاره ، د هایبرډ بوټ حالت پلي کیږي (د EFI او BIOS ملاتړ سره).
- د زنګ ژبې لپاره تازه شوي بسته نسخې او انحصار.
- د Kubernetes 8 پر بنسټ د توزیع ډول aws-k1.17s-1.17 لپاره ملاتړ بند شوی. دا سپارښتنه کیږي چې د aws-k8s-1.21 نسخه د Kubernetes 1.21 ملاتړ سره وکاروئ. د k8s ډولونه د cgroup runtime.slice او system.slice ترتیبات کاروي.
سرچینه: opennet.ru