Објављено је издање Линук дистрибуције Боттлероцкет 1.7.0, развијене уз учешће Амазона за ефикасно и безбедно покретање изолованих контејнера. Алати и контролне компоненте дистрибуције су написани на Русту и дистрибуирају се под лиценцама МИТ и Апацхе 2.0. Подржава покретање Боттлероцкет-а на Амазон ЕЦС, ВМваре и АВС ЕКС Кубернетес кластерима, као и креирање прилагођених верзија и издања која омогућавају употребу различитих алата за оркестрацију и време извођења за контејнере.
Дистрибуција обезбеђује атомски и аутоматски ажурирану недељиву слику система која укључује Линук кернел и минимално системско окружење, укључујући само компоненте неопходне за покретање контејнера. Окружење укључује системски менаџер система, Глибц библиотеку, алатку за прављење Буилдроот, ГРУБ покретач, конфигуратор опаке мреже, време извођења контејнера за изоловане контејнере, платформу за оркестрацију Кубернетес контејнера, авс-иам-аутхентицатор и Амазон ЕЦС агент.
Алати за оркестрацију контејнера долазе у засебном контејнеру за управљање који је подразумевано омогућен и којим се управља преко АПИ-ја и АВС ССМ агента. Основној слици недостају командна шкољка, ССХ сервер и интерпретирани језици (на пример, нема Питхон или Перл) - административни алати и алати за отклањање грешака смештени су у посебан контејнер услуге, који је подразумевано онемогућен.
Кључна разлика од сличних дистрибуција као што су Федора ЦореОС, ЦентОС/Ред Хат Атомиц Хост је примарни фокус на обезбеђивању максималне безбедности у контексту јачања заштите система од могућих претњи, што отежава искоришћавање рањивости у компонентама ОС-а и повећава изолацију контејнера. . Контејнери се креирају коришћењем стандардних механизама Линук кернела - цгроупс, намеспацес и сеццомп. За додатну изолацију, дистрибуција користи СЕЛинук у „присилном“ режиму.
Основна партиција се монтира само за читање, а партиција за подешавања /етц се монтира у тмпфс и враћа у првобитно стање након поновног покретања. Директна модификација датотека у /етц директоријуму, као што су /етц/ресолв.цонф и /етц/цонтаинерд/цонфиг.томл, није подржана – да бисте трајно сачували подешавања, морате да користите АПИ или да преместите функционалност у засебне контејнере. Модул дм-верити се користи за криптографску проверу интегритета роот партиције, а ако се открије покушај измене података на нивоу блок уређаја, систем се поново покреће.
Већина системских компоненти је написана у Руст-у, који пружа функције безбедне за меморију да би се избегле рањивости узроковане приступима меморији након ослобађања, нултим дереференцијама показивача и прекорачењем бафера. Када се подразумевано гради, режими компилације "-енабле-дефаулт-пие" и "-енабле-дефаулт-ссп" се користе да би се омогућила насумична употреба адресног простора извршне датотеке (ПИЕ) и заштита од прекорачења стека кроз канарску замену. За пакете написане у Ц/Ц++, заставице „-Валл“, „-Веррор=формат-сецурити“, „-Вп,-Д_ФОРТИФИ_СОУРЦЕ=2“, „-Вп,-Д_ГЛИБЦКСКС_АССЕРТИОНС“ и „-фстацк-цласх“ су додатно омогућена -заштита“.
У новом издању:
- Када инсталирате РПМ пакете, могуће је генерисати листу програма у ЈСОН формату и монтирати је у хост контејнер као датотеку /вар/либ/боттлероцкет/инвентори/апплицатион.јсон да бисте добили информације о доступним пакетима.
- „Админ“ и „цонтрол“ контејнери су ажурирани.
- Ажуриране верзије пакета и зависности за Го и Руст језике.
- Ажуриране верзије пакета са програмима независних произвођача.
- Решени проблеми са конфигурацијом тмпфилесд за кмод-5.10-нвидиа.
- Када инсталирате туфтоол, верзије зависности су повезане.
Извор: опеннет.ру