Linux බෙදාහැරීමේ Bottlerocket 1.7.0 නිකුතුව ප්රකාශයට පත් කර ඇත, හුදකලා බහාලුම් කාර්යක්ෂමව සහ ආරක්ෂිතව දියත් කිරීම සඳහා Amazon සහභාගීත්වයෙන් සංවර්ධනය කරන ලදී. බෙදාහැරීමේ මෙවලම් සහ පාලන සංරචක රස්ට් වලින් ලියා MIT සහ Apache 2.0 බලපත්ර යටතේ බෙදා හරිනු ලැබේ. එය Amazon ECS, VMware සහ AWS EKS Kubernetes පොකුරු මත Bottlerocket ධාවනය කිරීමට සහය දක්වයි, එසේම බහාලුම් සඳහා විවිධ වාද්ය වෘන්ද සහ ධාවන කාල මෙවලම් භාවිතා කිරීමට ඉඩ සලසන අභිරුචි ගොඩ නැගීම් සහ සංස්කරණ නිර්මාණය කරයි.
බෙදාහැරීම මඟින් ලිනක්ස් කර්නලය සහ බහාලුම් ක්රියාත්මක කිරීමට අවශ්ය සංරචක පමණක් ඇතුළුව අවම පද්ධති පරිසරයක් ඇතුළත් පරමාණුකව සහ ස්වයංක්රීයව යාවත්කාලීන කළ බෙදිය නොහැකි පද්ධති රූපයක් සපයයි. පරිසරයට systemd පද්ධති කළමනාකරු, Glibc පුස්තකාලය, Buildroot ගොඩනැගීමේ මෙවලම, GRUB ඇරඹුම් කාරකය, දුෂ්ට ජාල වින්යාසකය, හුදකලා බහාලුම් සඳහා බහාලුම් ධාවන කාලය, Kubernetes බහාලුම් වාදක වේදිකාව, aws-iam-authenticator සහ Amazon ඇතුළත් වේ. ECS නියෝජිතයා.
බහාලුම් වාද්ය වෘන්ද මෙවලම් පෙරනිමියෙන් සක්රීය කර API සහ AWS SSM නියෝජිතයා හරහා කළමනාකරණය කරන වෙනම කළමනාකරණ බහාලුමක් තුළ පැමිණේ. මූලික රූපයේ විධාන කවචයක්, SSH සේවාදායකයක් සහ පරිවර්ථනය කළ භාෂා නොමැත (උදාහරණයක් ලෙස, පයිතන් හෝ පර්ල් නැත) - පරිපාලන මෙවලම් සහ නිදොස් කිරීමේ මෙවලම් වෙනම සේවා බහාලුමක් තුළ තබා ඇති අතර එය පෙරනිමියෙන් අක්රීය වේ.
Fedora CoreOS, CentOS/Red Hat Atomic Host වැනි සමාන බෙදාහැරීම් වලින් ඇති ප්රධාන වෙනස නම් විය හැකි තර්ජන වලින් පද්ධති ආරක්ෂාව ශක්තිමත් කිරීමේ සන්දර්භය තුළ උපරිම ආරක්ෂාව සැපයීම කෙරෙහි මූලික අවධානය යොමු කරයි, OS සංරචකවල ඇති අවදානම් ප්රයෝජනයට ගැනීම වඩාත් අපහසු කරයි සහ බහාලුම් හුදකලා කිරීම වැඩි කරයි. . බහාලුම් සාදනු ලබන්නේ සම්මත ලිනක්ස් කර්නල් යාන්ත්රණයන් භාවිතා කරමිනි - cgroups, namespaces සහ seccomp. අතිරේක හුදකලා කිරීම සඳහා, බෙදාහැරීම "බලාත්මක කිරීමේ" ආකාරයෙන් SELinux භාවිතා කරයි.
මූල කොටස කියවීමට පමණක් සවි කර ඇති අතර / etc සැකසුම් කොටස tmpfs හි සවි කර නැවත ආරම්භ කිරීමෙන් පසු එහි මුල් තත්වයට පත් වේ. /etc/resolv.conf සහ /etc/containerd/config.toml වැනි /etc බහලුම තුළ ඇති ගොනු සෘජුව වෙනස් කිරීම සඳහා සහය නොදක්වයි - ස්ථිරවම සිටුවම් සුරැකීමට, ඔබ API භාවිතා කළ යුතුය හෝ ක්රියාකාරීත්වය වෙනම බහාලුම්වලට ගෙන යා යුතුය. dm-verity මොඩියුලය root කොටසෙහි අඛණ්ඩතාව ගුප්ත ලේඛනගතව සත්යාපනය කිරීමට භාවිතා කරයි, සහ බ්ලොක් උපාංග මට්ටමේ දත්ත වෙනස් කිරීමට උත්සාහයක් අනාවරණය වුවහොත්, පද්ධතිය නැවත ආරම්භ වේ.
බොහෝ පද්ධති සංරචක රස්ට් වලින් ලියා ඇත, නිදහස් පසු මතක ප්රවේශයන්, null pointer dereferences සහ buffer overruns නිසා ඇති වන දුර්වලතා මඟහරවා ගැනීමට මතක ආරක්ෂිත විශේෂාංග සපයයි. පෙරනිමියෙන් ගොඩනඟන විට, ක්රියාත්මක කළ හැකි ගොනු ලිපින අවකාශය (PIE) සසම්භාවී කිරීම සහ කැනරි ආදේශනය හරහා තොග පිටාර ගැලීම් වලින් ආරක්ෂා වීම සඳහා "-enable-default-pie" සහ "-enable-default-ssp" යන සම්පාදන ක්රම භාවිතා වේ. C/C++ හි ලියා ඇති පැකේජ සඳහා, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” සහ “-fstack-clash” යන ධජ අතිරේක වේ. සක්රීය -ආරක්ෂාව".
නව නිකුතුවේ:
- RPM පැකේජ ස්ථාපනය කරන විට, JSON ආකෘතියෙන් වැඩසටහන් ලැයිස්තුවක් ජනනය කර එය /var/lib/bottlerocket/inventory/application.json ගොනුව ලෙස ධාරක කන්ටේනරය තුළට සවිකර පවතින පැකේජ පිළිබඳ තොරතුරු ලබා ගත හැක.
- "පරිපාලක" සහ "පාලක" බහාලුම් යාවත්කාලීන කර ඇත.
- Go සහ Rust භාෂා සඳහා යාවත්කාලීන කරන ලද පැකේජ අනුවාද සහ පරායත්ත.
- තෙවන පාර්ශවීය වැඩසටහන් සමඟ පැකේජවල යාවත්කාලීන කරන ලද අනුවාද.
- kmod-5.10-nvidia සඳහා tmpfilesd වින්යාස ගැටළු විසඳන ලදී.
- Tuftool ස්ථාපනය කරන විට, පරායත්ත අනුවාද සම්බන්ධ වේ.
මූලාශ්රය: opennet.ru