Amazon Company den första viktiga frågan om specialiserad Linux-distribution , designad för att köra isolerade containrar effektivt och säkert. Distributionens verktyg och styrkomponenter är skrivna i Rust och under MIT- och Apache 2.0-licenser. Projektet utvecklas på GitHub och är tillgängligt för deltagande av communitymedlemmar. Systemdistributionsbilden genereras för x86_64- och Aarch64-arkitekturerna. OS är anpassat för att köras på Amazon ECS och AWS EKS Kubernetes-kluster. verktyg för att skapa dina egna sammanställningar och utgåvor, som kan använda andra orkestreringsverktyg, kärnor och körtid för behållare.
Distributionen tillhandahåller kärnan Linux och en minimal systemmiljö, som endast inkluderar de komponenter som är nödvändiga för att köra containrar. Paket som används i projektet inkluderar systemhanteraren systemd, Glibc-biblioteket och byggverktyg.
Buildroot, GRUB bootloader, nätverkskonfigurator , körtid för isolerade behållare , Kubernetes containerorkestreringsplattform, aws-iam-autenticator och Amazon ECS-agent.
Fördelningen uppdateras atomärt och levereras i form av en odelbar systembild. Två diskpartitioner är tilldelade för systemet, varav en innehåller det aktiva systemet, och uppdateringen kopieras till den andra. Efter att uppdateringen har distribuerats blir den andra partitionen aktiv, och i den första, tills nästa uppdatering kommer, sparas den tidigare versionen av systemet, som du kan rulla tillbaka till om problem uppstår. Uppdateringar installeras automatiskt utan administratörsingripande.
Den viktigaste skillnaden från liknande distributioner som Fedora CoreOS är CentOS/Red Hat Atomic Host fokuserar främst på att tillhandahålla i samband med att stärka systemets skydd mot potentiella hot, komplicera utnyttjandet av sårbarheter i operativsystemkomponenter och öka containerisoleringen. Containers skapas med hjälp av standardkärnmekanismer. Linux — cgroups, namnrymder och seccomp. För ytterligare isolering använder distributionen SELinux i "enforcement"-läget, och modulen används för kryptografisk verifiering av rotpartitionens integritet . Om ett försök att modifiera data på blockenhetsnivå upptäcks, startar systemet om.
Rotpartitionen är skrivskyddad monterad, och /etc settings-partitionen monteras i tmpfs och återställs till sitt ursprungliga tillstånd efter en omstart. Direkt modifiering av filer i /etc-katalogen, såsom /etc/resolv.conf och /etc/containerd/config.toml, stöds inte - för att permanent spara inställningar måste du använda API:t eller flytta funktionaliteten till separata behållare.
De flesta systemkomponenter är skrivna i Rust, vilket ger minnessäkra funktioner för att undvika sårbarheter orsakade av efterfri minnesåtkomst, nollpekarereferenser och buffertöverskridanden. När man bygger som standard används kompileringslägena "--enable-default-pie" och "--enable-default-ssp" för att möjliggöra randomisering av adressutrymmet för körbara filer () och översvämningsskydd via kanariefågel.
För paket skrivna i C/C++ ingår ytterligare flaggor
"-Wall", "-Werror=format-säkerhet", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" och "-fstack-clash-protection".
Behållarorkestreringsverktyg levereras separat , som är aktiverat som standard och styrs via och AWS SSM Agent. Basbilden saknar ett kommandoskal, SSH-server och tolkade språk (till exempel ingen Python eller Perl) - administrativa verktyg och felsökningsverktyg finns i , som är inaktiverat som standard.
Källa: opennet.ru
