Објављено је издање Линук дистрибуције Боттлероцкет 1.3.0, развијене уз учешће Амазона за ефикасно и безбедно покретање изолованих контејнера. Алати и контролне компоненте дистрибуције су написани на Русту и дистрибуирају се под лиценцама МИТ и Апацхе 2.0. Подржава покретање Боттлероцкет-а на Амазон ЕЦС, ВМваре и АВС ЕКС Кубернетес кластерима, као и креирање прилагођених верзија и издања која омогућавају употребу различитих алата за оркестрацију и време извођења за контејнере.
Дистрибуција обезбеђује атомски и аутоматски ажурирану недељиву слику система која укључује Линук кернел и минимално системско окружење, укључујући само компоненте неопходне за покретање контејнера. Окружење укључује системски менаџер система, Глибц библиотеку, алатку за прављење Буилдроот, ГРУБ покретач, конфигуратор опаке мреже, време извођења контејнера за изоловане контејнере, платформу за оркестрацију Кубернетес контејнера, авс-иам-аутхентицатор и Амазон ЕЦС агент.
Алати за оркестрацију контејнера долазе у засебном контејнеру за управљање који је подразумевано омогућен и којим се управља преко АПИ-ја и АВС ССМ агента. Основној слици недостају командна шкољка, ССХ сервер и интерпретирани језици (на пример, нема Питхон или Перл) - административни алати и алати за отклањање грешака смештени су у посебан контејнер услуге, који је подразумевано онемогућен.
Кључна разлика од сличних дистрибуција као што су Федора ЦореОС, ЦентОС/Ред Хат Атомиц Хост је примарни фокус на обезбеђивању максималне безбедности у контексту јачања заштите система од могућих претњи, што отежава искоришћавање рањивости у компонентама ОС-а и повећава изолацију контејнера. . Контејнери се креирају коришћењем стандардних механизама Линук кернела - цгроупс, намеспацес и сеццомп. За додатну изолацију, дистрибуција користи СЕЛинук у „присилном“ режиму.
Основна партиција се монтира само за читање, а партиција за подешавања /етц се монтира у тмпфс и враћа у првобитно стање након поновног покретања. Директна модификација датотека у /етц директоријуму, као што су /етц/ресолв.цонф и /етц/цонтаинерд/цонфиг.томл, није подржана – да бисте трајно сачували подешавања, морате да користите АПИ или да преместите функционалност у засебне контејнере. Модул дм-верити се користи за криптографску проверу интегритета роот партиције, а ако се открије покушај измене података на нивоу блок уређаја, систем се поново покреће.
Већина системских компоненти је написана у Руст-у, који пружа функције безбедне за меморију да би се избегле рањивости узроковане приступима меморији након ослобађања, нултим дереференцијама показивача и прекорачењем бафера. Када се подразумевано гради, режими компилације "-енабле-дефаулт-пие" и "-енабле-дефаулт-ссп" се користе да би се омогућила насумична употреба адресног простора извршне датотеке (ПИЕ) и заштита од прекорачења стека кроз канарску замену. За пакете написане у Ц/Ц++, заставице „-Валл“, „-Веррор=формат-сецурити“, „-Вп,-Д_ФОРТИФИ_СОУРЦЕ=2“, „-Вп,-Д_ГЛИБЦКСКС_АССЕРТИОНС“ и „-фстацк-цласх“ су додатно омогућена -заштита“.
У новом издању:
- Исправљене рањивости у алатима за доцкер и рунтиме контејнере (ЦВЕ-2021-41089, ЦВЕ-2021-41091, ЦВЕ-2021-41092, ЦВЕ-2021-41103) у вези са нетачним подешавањем права приступа, што је омогућило да непривилеговани корисници иду даље од директоријум и извршавање екстерних програма.
- Подршка за ИПв6 је додата кубелету и плутону.
- Могуће је поново покренути контејнер након промене његових подешавања.
- Подршка за Амазон ЕЦ2 М6и инстанце је додата пакету ени-мак-подс.
- Опен-вм-тоолс је додао подршку за филтере уређаја, на основу Цилиум комплета алата.
- За платформу к86_64 имплементиран је хибридни режим покретања (са подршком за ЕФИ и БИОС).
- Ажуриране верзије пакета и зависности за Руст језик.
- Подршка за варијанту дистрибуције авс-к8с-1.17 засновану на Кубернетес 1.17 је укинута. Препоручује се коришћење верзије авс-к8с-1.21 са подршком за Кубернетес 1.21. К8с варијанте користе подешавања цгроуп рунтиме.слице и систем.слице.
Извор: опеннет.ру