Siideynta qaybinta Linux Bottlerocket 1.3.0 waa la daabacay, oo la sameeyay iyada oo ka qaybqaadashada Amazon si hufan oo ammaan ah u bilaabista weelasha go'doonsan. Qalabka qaybinta iyo qaybaha xakamaynta waxay ku qoran yihiin Rust waxaana lagu qaybiyaa shatiga MIT iyo Apache 2.0. Waxay taageertaa ku socodsiinta Bottlerocket-ka Amazon ECS, VMware iyo AWS EKS Kubernetes clusters, iyo sidoo kale abuurista dhismayaal gaar ah iyo daabacado u oggolaanaya isticmaalka qalabyada kala duwan ee orchestration iyo qalabka runtime ee weelasha.
Qaybinta ayaa bixisa qaab atomically iyo si toos ah loo cusboonaysiiyay sawirka nidaamka aan la qaybsan karin oo ay ku jiraan kernel Linux iyo jawi nidaam yar, oo ay ku jiraan kaliya qaybaha lagama maarmaanka u ah socodsiinta weelasha. Deegaanka waxaa ka mid ah maamulaha nidaamka habaysan, maktabadda Glibc, qalabka dhismaha ee Buildroot, bootloader GRUB, isku xidhka shabakada sharka leh, wakhtiga weelka weel ee weelasha go'doonsan, goobta wax lagu farsameeyo weelka Kubernetes, aws-iam-authenticator, iyo Amazon Amazon Wakiilka ECS.
Aaladaha abaabulka weelku waxay ku yimaadaan weel maamul oo gooni ah kaas oo si caadi ah u kartiyeeyay oo lagu maareeyo API iyo AWS SSM Agent. Sawirka salku wuxuu ka maqan yahay qolof amar, server SSH iyo luqadaha la turjumay (tusaale, Python ama Perl ma jiro) - qalabyada maamulka iyo qalabka wax-ka-hortagga waxaa lagu meeleeyaa weel adeeg oo gaar ah, kaas oo naafo ah.
Farqiga ugu muhiimsan ee u dhexeeya qaybinta la midka ah sida Fedora CoreOS, CentOS/Koofiyadda Cas ee Atomic Host waa diiradda koowaad ee bixinta amniga ugu sarreeya marka la eego xoojinta nidaamka ilaalinta khataraha suurtagalka ah, taas oo adkeynaysa in laga faa'iidaysto nuglaanta qaybaha OS iyo kordhinta go'doominta weelka . Weelasha waxaa lagu abuuraa iyadoo la adeegsanayo hababka kernel-ka caadiga ah ee Linux - kooxo-koox, goobo magacyo iyo seccomp. Go'doomin dheeri ah, qaybintu waxay isticmaashaa SELinux qaabka "xoojinta".
Qaybta xididka waxa lagu rakibay akhris-kaliya, iyo qaybta /iwm ee qaybta dejinta ayaa lagu rakibay tmpfs waxaana lagu soo celiyaa sidii ay ahayd markii dib loo bilaabo. Wax ka beddelka tooska ah ee faylasha ku jira tusaha /etc, sida /etc/resolv.conf iyo /etc/containerd/config.toml, lama taageero - si aad si joogto ah u kaydiso goobaha, waa inaad isticmaashaa API-ga ama aad u wareejisaa shaqada weelal kala duwan. Module dm-verity waxa loo isticmaalaa si qarsoodi ah loo xaqiijiyo daacadnimada qaybta xididka, iyo haddii la ogaado isku dayga lagu bedelayo xogta heerka qalabka xannibaadda, nidaamku dib buu u bilaabayaa.
Inta badan qaybaha nidaamka waxay ku qoran yihiin Rust, kaas oo bixiya sifooyin xusuusta-ammaan ah si looga fogaado dayacanka ay sababto gelitaanka xusuusta bilaashka ah ka dib, tilmaameyaal aan waxba lahayn, iyo xad-dhaaf ah. Marka la dhisayo qaab caadi ah, qaababka isku-dubbaridka "-enable-default-pie" iyo "-enable-default-ssp" ayaa loo adeegsadaa si ay awood ugu yeeshaan kala soocida booska cinwaanka faylka la fulin karo (PIE) iyo ka hortagga qulqulka qulqulka iyada oo loo marayo beddelka canary. Xirmooyinka ku qoran C/C++, calamada "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" iyo "-fstack-clash" ayaa sidoo kale ah karti-ilaalin".
Siideynta cusub:
- Nuglaanta go'an ee docker-ka iyo aaladaha weelka ku jira wakhtiga (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) ee la xidhiidha meel aan sax ahayn ee xuquuqaha gelitaanka, taas oo u ogolaatay isticmaalayaasha aan mudnaanta lahayn inay ka gudbaan xuquuqda aasaasiga ah. tusaha oo fuliya barnaamijyada dibadda.
- Taageerada IPV6 ayaa lagu daray kubelet iyo pluto.
- Waa suurtogal in dib loo bilaabo weelka ka dib marka la beddelo habaynteeda.
- Taageerada tusaalooyinka Amazon EC2 M6i ayaa lagu daray xirmada eni-max-pods.
- Open-vm-tools waxay ku dartay taageerada shaandhada aaladaha, iyadoo lagu saleynayo qalabka Cilium.
- Goobta x86_64, qaabka boot-ga isku-dhafka ah ayaa la hirgeliyay (iyadoo la taageerayo EFI iyo BIOS).
- Noocyada xirmada oo la cusboonaysiiyay iyo ku tiirsanaanta luqadda Rust
- Taageerada kala duwanaanshaha qaybinta aws-k8s-1.17 ee ku salaysan Kubernetes 1.17 waa la joojiyay. Waxaa lagu talinayaa in la isticmaalo nooca aw-k8s-1.21 oo taageero u ah Kubernetes 1.21. Kala duwanaanshaha k8s waxay isticmaalaan cgroup runtime.slice iyo system.slice settings.
Source: opennet.ru