Toleo limechapishwa LinuxBottlerocket 1.3.0, usambazaji uliotengenezwa kwa ushirikiano na Amazon, umeundwa kuendesha vyombo vilivyotengwa kwa ufanisi na usalama. Vipengele vya vifaa na udhibiti wa usambazaji vimeandikwa kwa Rust na kupewa leseni chini ya leseni za MIT na Apache 2.0. Bottlerocket inaendeshwa kwenye makundi ya Amazon ECS, VMware, na AWS EKS Kubernetes, na pia inasaidia miundo na matoleo maalum ambayo yanaunga mkono matumizi ya zana mbalimbali za upangaji wa vyombo na za muda wa utekelezaji.
Usambazaji hutoa picha ya mfumo usiogawanyika iliyosasishwa kiotomatiki na kiotomatiki, ikijumuisha kiini Linux na mazingira machache ya mfumo, ikijumuisha vipengele vinavyohitajika tu kwa ajili ya kuendesha vyombo. Mazingira haya yanajumuisha meneja wa mfumo wa mfumo, maktaba ya Glibc, mnyororo wa vifaa vya ujenzi wa Buildroot, kipakiaji cha GRUB, kisanidi mtandao kibaya, muda wa uendeshaji wa vyombo vilivyotengwa, jukwaa la upangaji wa vyombo vya Kubernetes, kithibitishaji cha aws-iam-authenticator, na wakala wa Amazon ECS.
Zana za upangaji wa kontena huwasilishwa katika kontena tofauti ya usimamizi, ambayo huwezeshwa kwa chaguo-msingi na kusimamiwa kupitia API na Agent ya AWS SSM. Picha ya msingi haijumuishi ganda la amri. seva SSH na lugha zilizotafsiriwa (k.m. hakuna Python au Perl) - zana za usimamizi na utatuzi wa matatizo ziko kwenye chombo tofauti cha huduma, ambacho huzimwa kwa chaguo-msingi.
Tofauti kuu kutoka kwa usambazaji sawa kama vile Fedora CoreOS ni CentOSRed Hat Atomic Host inalenga hasa kutoa usalama wa hali ya juu kwa kuimarisha ulinzi wa mfumo dhidi ya vitisho vinavyoweza kutokea, kuzidisha utumiaji wa udhaifu katika vipengele vya OS, na kuongeza utenganishaji wa kontena. Kontena huundwa kwa kutumia mifumo asilia ya kernel. Linux — vikundi vya c, nafasi za majina, na seccomp. Kwa utenganishaji wa ziada, usambazaji hutumia SELinux katika hali ya "kutekeleza".
Sehemu ya mizizi imewekwa kwa kusoma tu, na /etc kizigeu cha mipangilio imewekwa kwenye tmpfs na kurejeshwa kwa hali yake ya asili baada ya kuanza tena. Urekebishaji wa moja kwa moja wa faili katika saraka ya /etc, kama vile /etc/resolv.conf na /etc/containerd/config.toml, hautumiki - ili kuhifadhi mipangilio kabisa, lazima utumie API au usogeze utendakazi kwenye vyombo tofauti. Sehemu ya dm-uaminifu inatumika kuthibitisha kwa siri uadilifu wa kizigeu cha mizizi, na ikiwa jaribio la kurekebisha data katika kiwango cha kifaa cha kuzuia litatambuliwa, mfumo huwashwa upya.
Vipengee vingi vya mfumo vimeandikwa kwa Rust, ambayo hutoa vipengele vya usalama wa kumbukumbu ili kuepuka udhaifu unaosababishwa na ufikiaji wa kumbukumbu baada ya bila malipo, kuachwa kwa vielekezi visivyo na maana, na ziada ya bafa. Wakati wa kujenga kwa chaguo-msingi, njia za ujumuishaji "-enable-default-pie" na "-enable-default-ssp" hutumiwa kuwezesha ujanibishaji wa nafasi ya anwani ya faili inayoweza kutekelezwa (PIE) na ulinzi dhidi ya kufurika kwa rafu kupitia uingizwaji wa canary. Kwa vifurushi vilivyoandikwa kwa C/C++, bendera “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” na “-fstack-clash” ni pamoja na. kuwezeshwa -ulinzi".
Katika toleo jipya:
- Udhaifu usiobadilika katika Docker na zana zilizo na kontena za wakati wa kukimbia (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) inayohusiana na kuweka vibaya haki za ufikiaji, ambayo iliruhusu watumiaji wasio na haki kutekeleza programu za nje na kutekeleza saraka ya msingi.
- Imeongezwa kwenye kubelet na pluto Usaidizi wa IPv6.
- Uwezo wa kuanzisha upya chombo baada ya kubadilisha mipangilio yake umetolewa.
- Kifurushi cha eni-max-pods kimesasishwa ili kusaidia matukio ya Amazon EC2 M6i.
- open-vm-tools sasa inasaidia vichujio vya kifaa, kulingana na zana ya zana ya Cilium.
- Kwa jukwaa la x86_64, hali ya boot ya mseto (kwa usaidizi wa EFI na BIOS) imetekelezwa.
- Ilisasisha matoleo ya vifurushi na vitegemezi vya lugha ya Rust.
- Uwezo wa kutumia kibadala cha usambazaji wa aws-k8s-1.17 kulingana na Kubernetes 1.17 umekatishwa. Inapendekezwa kutumia lahaja ya aws-k8s-1.21, ambayo inasaidia Kubernetes 1.21. Vibadala vya k8s hutumia mipangilio ya cgroup runtime.slice na system.slice.
Chanzo: opennet.ru
