Linux බෙදාහැරීමේ Bottlerocket 1.3.0 නිකුතුව ප්රකාශයට පත් කර ඇත, හුදකලා බහාලුම් කාර්යක්ෂමව සහ ආරක්ෂිතව දියත් කිරීම සඳහා Amazon සහභාගීත්වයෙන් සංවර්ධනය කරන ලදී. බෙදාහැරීමේ මෙවලම් සහ පාලන සංරචක රස්ට් වලින් ලියා MIT සහ Apache 2.0 බලපත්ර යටතේ බෙදා හරිනු ලැබේ. එය Amazon ECS, VMware සහ AWS EKS Kubernetes පොකුරු මත Bottlerocket ධාවනය කිරීමට සහය දක්වයි, එසේම බහාලුම් සඳහා විවිධ වාද්ය වෘන්ද සහ ධාවන කාල මෙවලම් භාවිතා කිරීමට ඉඩ සලසන අභිරුචි ගොඩ නැගීම් සහ සංස්කරණ නිර්මාණය කරයි.
බෙදාහැරීම මඟින් ලිනක්ස් කර්නලය සහ බහාලුම් ක්රියාත්මක කිරීමට අවශ්ය සංරචක පමණක් ඇතුළුව අවම පද්ධති පරිසරයක් ඇතුළත් පරමාණුකව සහ ස්වයංක්රීයව යාවත්කාලීන කළ බෙදිය නොහැකි පද්ධති රූපයක් සපයයි. පරිසරයට systemd පද්ධති කළමනාකරු, Glibc පුස්තකාලය, Buildroot ගොඩනැගීමේ මෙවලම, GRUB ඇරඹුම් කාරකය, දුෂ්ට ජාල වින්යාසකය, හුදකලා බහාලුම් සඳහා බහාලුම් ධාවන කාලය, Kubernetes බහාලුම් වාදක වේදිකාව, aws-iam-authenticator සහ Amazon ඇතුළත් වේ. ECS නියෝජිතයා.
බහාලුම් වාද්ය වෘන්ද මෙවලම් පෙරනිමියෙන් සක්රීය කර API සහ AWS SSM නියෝජිතයා හරහා කළමනාකරණය කරන වෙනම කළමනාකරණ බහාලුමක් තුළ පැමිණේ. මූලික රූපයේ විධාන කවචයක්, SSH සේවාදායකයක් සහ පරිවර්ථනය කළ භාෂා නොමැත (උදාහරණයක් ලෙස, පයිතන් හෝ පර්ල් නැත) - පරිපාලන මෙවලම් සහ නිදොස් කිරීමේ මෙවලම් වෙනම සේවා බහාලුමක් තුළ තබා ඇති අතර එය පෙරනිමියෙන් අක්රීය වේ.
Fedora CoreOS, CentOS/Red Hat Atomic Host වැනි සමාන බෙදාහැරීම් වලින් ඇති ප්රධාන වෙනස නම් විය හැකි තර්ජන වලින් පද්ධති ආරක්ෂාව ශක්තිමත් කිරීමේ සන්දර්භය තුළ උපරිම ආරක්ෂාව සැපයීම කෙරෙහි මූලික අවධානය යොමු කරයි, OS සංරචකවල ඇති අවදානම් ප්රයෝජනයට ගැනීම වඩාත් අපහසු කරයි සහ බහාලුම් හුදකලා කිරීම වැඩි කරයි. . බහාලුම් සාදනු ලබන්නේ සම්මත ලිනක්ස් කර්නල් යාන්ත්රණයන් භාවිතා කරමිනි - cgroups, namespaces සහ seccomp. අතිරේක හුදකලා කිරීම සඳහා, බෙදාහැරීම "බලාත්මක කිරීමේ" ආකාරයෙන් SELinux භාවිතා කරයි.
මූල කොටස කියවීමට පමණක් සවි කර ඇති අතර / etc සැකසුම් කොටස tmpfs හි සවි කර නැවත ආරම්භ කිරීමෙන් පසු එහි මුල් තත්වයට පත් වේ. /etc/resolv.conf සහ /etc/containerd/config.toml වැනි /etc බහලුම තුළ ඇති ගොනු සෘජුව වෙනස් කිරීම සඳහා සහය නොදක්වයි - ස්ථිරවම සිටුවම් සුරැකීමට, ඔබ API භාවිතා කළ යුතුය හෝ ක්රියාකාරීත්වය වෙනම බහාලුම්වලට ගෙන යා යුතුය. dm-verity මොඩියුලය root කොටසෙහි අඛණ්ඩතාව ගුප්ත ලේඛනගතව සත්යාපනය කිරීමට භාවිතා කරයි, සහ බ්ලොක් උපාංග මට්ටමේ දත්ත වෙනස් කිරීමට උත්සාහයක් අනාවරණය වුවහොත්, පද්ධතිය නැවත ආරම්භ වේ.
බොහෝ පද්ධති සංරචක රස්ට් වලින් ලියා ඇත, නිදහස් පසු මතක ප්රවේශයන්, null pointer dereferences සහ buffer overruns නිසා ඇති වන දුර්වලතා මඟහරවා ගැනීමට මතක ආරක්ෂිත විශේෂාංග සපයයි. පෙරනිමියෙන් ගොඩනඟන විට, ක්රියාත්මක කළ හැකි ගොනු ලිපින අවකාශය (PIE) සසම්භාවී කිරීම සහ කැනරි ආදේශනය හරහා තොග පිටාර ගැලීම් වලින් ආරක්ෂා වීම සඳහා "-enable-default-pie" සහ "-enable-default-ssp" යන සම්පාදන ක්රම භාවිතා වේ. C/C++ හි ලියා ඇති පැකේජ සඳහා, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” සහ “-fstack-clash” යන ධජ අතිරේක වේ. සක්රීය -ආරක්ෂාව".
නව නිකුතුවේ:
- ඩොකර් සහ ධාවන කාල බහාලුම් මෙවලම්වල ස්ථාවර දුර්වලතා (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) වැරදි මූලික ප්රවේශ අයිතීන් සැකසීමට අදාළ වන අතර, එමඟින් පරිශීලකයින්ට අනවසරයෙන් ඔබ්බට යාමට ඉඩ සලසයි. නාමාවලිය සහ බාහිර වැඩසටහන් ක්රියාත්මක කිරීම.
- IPv6 සහය kubelet සහ pluto වෙත එක් කර ඇත.
- එහි සැකසුම් වෙනස් කිරීමෙන් පසු කන්ටේනරය නැවත ආරම්භ කළ හැකිය.
- Amazon EC2 M6i අවස්ථා සඳහා සහය eni-max-pods පැකේජයට එක් කර ඇත.
- Open-vm-tools විසින් Cilium මෙවලම් කට්ටලය මත පදනම්ව උපාංග පෙරහන් සඳහා සහය එක් කර ඇත.
- x86_64 වේදිකාව සඳහා, දෙමුහුන් ඇරඹුම් මාදිලියක් ක්රියාත්මක වේ (EFI සහ BIOS සඳහා සහය ඇතිව).
- රස්ට් භාෂාව සඳහා යාවත්කාලීන කළ පැකේජ අනුවාද සහ පරායත්ත.
- Kubernetes 8 මත පදනම් වූ බෙදාහැරීමේ විචල්ය aws-k1.17s-1.17 සඳහා වන සහාය අත්හිටුවා ඇත. Kubernetes 8 සඳහා සහය ඇතිව aws-k1.21s-1.21 අනුවාදය භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ. k8s ප්රභේද cgroup runtime.slice සහ system.slice සැකසුම් භාවිතා කරයි.
මූලාශ්රය: opennet.ru