لينڪس ڊسٽريبيوشن بوتلروڪٽ 1.2.0 جو رليز موجود آهي، تيار ڪيو ويو آهي Amazon جي شموليت سان الڳ ٿيل ڪنٽينرز جي موثر ۽ محفوظ لانچ لاءِ. تقسيم جا اوزار ۽ ڪنٽرول اجزاء مورچا ۾ لکيل آهن ۽ MIT ۽ Apache 2.0 لائسنس جي تحت ورهايل آهن. اهو Amazon ECS، VMware ۽ AWS EKS Kubernetes ڪلسٽرن تي هلندڙ Bottlerocket کي سپورٽ ڪري ٿو، انهي سان گڏ ڪسٽم بلڊز ۽ ايڊيشن ٺاهڻ جيڪي ڪنٽينرز لاءِ مختلف آرڪيسٽريشن ۽ رن ٽائم ٽولز جي استعمال جي اجازت ڏين ٿا.
تقسيم هڪ ايٽمي طور تي ۽ خودڪار طور تي اپڊيٽ ٿيل ناقابل تقسيم سسٽم تصوير مهيا ڪري ٿي جنهن ۾ لينڪس ڪنييل ۽ گهٽ ۾ گهٽ سسٽم ماحول شامل آهي، جنهن ۾ صرف ڪنٽينرز کي هلائڻ لاء ضروري اجزاء شامل آهن. ماحول ۾ شامل آهي سسٽمڊ سسٽم مئنيجر، Glibc لائبريري، بلڊروٽ بلڊ ٽول، GRUB بوٽ لوڊر، خراب نيٽ ورڪ ترتيب ڏيڻ وارو، ڪنٽينرڊ رن ٽائم لاءِ الڳ ٿيل ڪنٽينرز، ڪبرنيٽس ڪنٽينر آرڪيسٽريشن پليٽ فارم، aws-iam-authenticator، ۽ Amazon اي سي ايس ايجنٽ.
ڪنٽينر آرڪيسٽريشن ٽولز هڪ الڳ مئنيجمينٽ ڪنٽينر ۾ اچن ٿا جيڪي ڊفالٽ طور فعال ٿيل آهن ۽ API ۽ AWS SSM ايجنٽ ذريعي منظم ٿيل آهن. بنيادي تصوير ۾ ڪمانڊ شيل، SSH سرور ۽ تشريح ڪيل ٻوليون نه آھن (مثال طور، ڪو پٿون يا پرل) - انتظامي اوزار ۽ ڊيبگنگ ٽولز ھڪ الڳ سروس ڪنٽينر ۾ رکيل آھن، جيڪو ڊفالٽ طور بند ٿيل آھي.
ساڳئي تقسيم کان اهم فرق جهڙوڪ Fedora CoreOS، CentOS/Red Hat Atomic Host بنيادي طور تي وڌ کان وڌ سيڪيورٽي فراهم ڪرڻ تي آهي ممڪن خطرن کان سسٽم جي حفاظت کي مضبوط ڪرڻ جي حوالي سان، OS اجزاء ۾ ڪمزورين جو استحصال ڪرڻ ۽ ڪنٽينر جي اڪيلائي کي وڌائڻ وڌيڪ ڏکيو بڻائي ٿو. . ڪنٽينر ٺاهيا ويا آهن معياري لينڪس ڪنيل ميڪانيزم استعمال ڪندي - cgroups، namespaces ۽ seccomp. اضافي علحدگيءَ لاءِ، ورڇ استعمال ڪري ٿو SELinux کي ”نافذ ڪرڻ“ موڊ ۾.
روٽ ورهاڱي کي صرف پڙهڻ لاء نصب ڪيو ويو آهي، ۽ /etc سيٽنگون ورهاڱي کي tmpfs ۾ نصب ڪيو ويو آهي ۽ ٻيهر شروع ٿيڻ کان پوء ان جي اصل حالت ۾ بحال ٿيو. /etc ڊاريڪٽري ۾ فائلن جي سڌي تبديلي، جهڙوڪ /etc/resolv.conf ۽ /etc/containerd/config.toml، سپورٽ نه آهي - سيٽنگون مستقل طور تي محفوظ ڪرڻ لاء، توهان کي API استعمال ڪرڻ يا ڪارڪردگي کي الڳ ڪنٽينرز ۾ منتقل ڪرڻ گهرجي. dm-verity ماڊل استعمال ڪيو ويندو آهي cryptographicly جي روٽ ورهاڱي جي سالميت جي تصديق ڪرڻ لاء، ۽ جيڪڏهن بلاڪ ڊيوائس جي سطح تي ڊيٽا کي تبديل ڪرڻ جي ڪوشش ڪئي وئي آهي، سسٽم ريبوٽ.
سسٽم جا اڪثر حصا Rust ۾ لکيل آهن، جيڪي ميموري-محفوظ خاصيتون مهيا ڪن ٿيون ته جيئن نقصان کان بچڻ لاءِ مفت ميموري رسائي، null pointer dereferences، ۽ buffer overruns. جڏهن ڊفالٽ طور تي تعمير ڪيو وڃي، تاليف جا طريقا "-enable-default-pie" ۽ "-enable-default-ssp" استعمال ڪيا ويندا آھن ايگزيڪيوٽوبل فائل ايڊريس اسپيس (PIE) جي بي ترتيب ڪرڻ ۽ ڪينري متبادل ذريعي اسٽيڪ اوور فلوز جي خلاف تحفظ لاءِ. C/C++ ۾ لکيل پيڪيجز لاءِ، جھنڊا “-Wall”، “-Werror=format-security”، “-Wp،-D_FORTIFY_SOURCE=2”، “-Wp،-D_GLIBCXX_ASSERTIONS” ۽ “-fstack-clash” اضافي آهن. فعال - تحفظ".
نئين رليز ۾:
- شامل ڪيل سپورٽ ڪنٽينر تصويري رجسٽري آئيني لاءِ.
- خود دستخط ٿيل سرٽيفڪيٽ استعمال ڪرڻ جي صلاحيت شامل ڪئي وئي.
- ھوسٽ جو نالو ترتيب ڏيڻ لاءِ اختيار شامل ڪيو ويو.
- انتظامي ڪنٽينر جو ڊفالٽ ورزن اپڊيٽ ڪيو ويو آهي.
- شامل ڪيو ويو topologyManagerPolicy ۽ topologyManagerScope سيٽنگون ڪوبيليٽ لاءِ.
- zstd الگورٿم استعمال ڪندي ڪنيل ڪمپريشن لاءِ سپورٽ شامل ڪئي وئي.
- مجازي مشينن کي لوڊ ڪرڻ جي صلاحيت VMware ۾ OVA (اوپن ورچوئلائيزيشن فارميٽ) فارميٽ ۾ مهيا ڪئي وئي آهي.
- تقسيم ورزن aws-k8s-1.21 اپڊيٽ ڪيو ويو آهي ڪبرنيٽس 1.21 جي سپورٽ سان. aws-k8s-1.16 لاءِ سپورٽ بند ڪئي وئي آھي.
- تازه ٿيل پيڪيج ورزن ۽ انحصار زنگ ٻولي لاءِ.
جو ذريعو: opennet.ru