Pelepasan distribusi Linux Bottlerocket 1.3.0 parantos diterbitkeun, dikembangkeun ku partisipasi Amazon pikeun ngajalankeun peti terasing sacara efektif sareng aman. Komponén alat sareng kontrol distribusi ditulis dina Rust sareng disebarkeun dina lisensi MIT sareng Apache 2.0. Éta ngadukung ngajalankeun Bottlerocket dina Amazon ECS, VMware, sareng AWS EKS Kubernetes klaster, ogé nyiptakeun gedong sareng édisi khusus anu ngamungkinkeun para alat orkestrasi sareng runtime anu béda pikeun wadah.
Distribusi nyayogikeun gambar sistem anu teu tiasa dibagi sacara atom sareng otomatis anu kalebet kernel Linux sareng lingkungan sistem minimal anu kalebet ngan ukur komponén anu diperyogikeun pikeun ngajalankeun wadah. Lingkungan kalebet manajer sistem systemd, perpustakaan Glibc, alat ngawangun Buildroot, bootloader GRUB, konfigurator jaringan jahat, waktos wadah wadah terasing wadahna, platform orkestrasi wadah Kubernetes, aws-iam-authenticator, sareng agén Amazon ECS. .
Alat orkestrasi wadahna aya dina wadah manajemén anu misah anu diaktipkeun sacara standar sareng diurus ngaliwatan Agen API sareng AWS SSM. Gambar dasarna henteu gaduh cangkang paréntah, server SSH, sareng basa anu diinterpretasi (contona, henteu aya Python atanapi Perl) - alat administratif sareng debugging dipindahkeun ka wadah jasa anu kapisah, anu ditumpurkeun sacara standar.
Beda konci tina distribusi anu sami sapertos Fedora CoreOS, CentOS / Red Hat Atomic Host mangrupikeun fokus utami pikeun nyayogikeun kaamanan maksimal dina kontéks nguatkeun panyalindungan sistem ngalawan kamungkinan ancaman, ngahesekeun eksploitasi kerentanan dina komponén OS sareng ningkatkeun isolasi wadahna. Wadahna didamel nganggo mékanisme biasa tina kernel Linux - cgroups, namespaces sareng seccomp. Pikeun isolasi tambahan, distribusi ngagunakeun SELinux dina mode "enforcing".
Partisi akar dipasang dina modeu baca wungkul, sareng partisi sareng /etc setélan dipasang dina tmpfs sareng disimpen deui ka kaayaan aslina saatos balikan deui. modifikasi langsung file dina /etc diréktori, kayaning /etc/resolv.conf na /etc/containerd/config.toml, teu dirojong - pikeun nyimpen setelan permanén, anjeun kudu make API atawa mindahkeun fungsionalitas ka wadahna misah. Pikeun verifikasi kriptografi integritas partisi akar, modul dm-verity dianggo, sareng upami usaha pikeun ngarobih data dina tingkat alat blok dideteksi, sistem reboots.
Kaseueuran komponén sistem ditulis dina Rust, anu nyayogikeun alat anu aman-memori pikeun ngahindarkeun kerentanan anu disababkeun ku alamat daérah mémori saatos dibébaskeun, ngarujuk kana pointer nol, sareng overruns panyangga. Nalika ngawangun, mode kompilasi standar "--enable-default-pie" sareng "--enable-default-ssp" dianggo pikeun ngaktifkeun randomization rohangan alamat anu tiasa dieksekusi (PIE) sareng panyalindungan ngalawan tumpukan tumpukan ngaliwatan substitusi labél kanaria. Pikeun bungkusan anu ditulis dina C/C ++, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" sareng "-fstack-clash" umbul ogé. kaasup - panyalindungan.
Dina rilis anyar:
- Kerentanan tetep dina alat docker sareng runtime containerd (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) anu aya hubunganana sareng setélan hak aksés anu salah, anu ngamungkinkeun para pangguna anu henteu ngagaduhan hak pikeun ngalangkungan dasar. diréktori sareng ngajalankeun program éksternal.
- Pangrojong IPv6 parantos ditambahkeun kana kubelet sareng pluto.
- Kasebut nyaéta dimungkinkeun pikeun ngabalikan deui wadahna saatos ngarobih setélanna.
- Rojongan pikeun instansi Amazon EC2 M6i geus ditambahkeun kana pakét eni-max-pods.
- Open-vm-tools parantos nambihan dukungan pikeun saringan alat, dumasar kana toolkit Cilium.
- Pikeun platform x86_64, mode boot hibrid dilaksanakeun (kalayan dukungan pikeun EFI sareng BIOS).
- Vérsi pakét diropéa sarta kagumantungan pikeun basa Rust.
- Rojongan pikeun varian distribusi aws-k8s-1.17 dumasar kana Kubernetes 1.17 parantos dileungitkeun. Disarankeun make versi aws-k8s-1.21 kalayan rojongan pikeun Kubernetes 1.21. Varian k8s ngagunakeun setélan cgroup runtime.slice sareng system.slice.
sumber: opennet.ru