அமேசான் நிறுவனம் பிரத்யேக லினக்ஸ் விநியோகத்தின் முதல் குறிப்பிடத்தக்க வெளியீடு , தனிமைப்படுத்தப்பட்ட கொள்கலன்களை திறமையாகவும் பாதுகாப்பாகவும் இயக்க வடிவமைக்கப்பட்டுள்ளது. விநியோகத்தின் கருவிகள் மற்றும் கட்டுப்பாட்டு கூறுகள் ரஸ்ட் மற்றும் இல் எழுதப்பட்டுள்ளன MIT மற்றும் Apache 2.0 உரிமங்களின் கீழ். திட்டம் GitHub இல் உருவாக்கப்படுகிறது மற்றும் சமூக உறுப்பினர்களின் பங்கேற்புக்குக் கிடைக்கிறது. கணினி வரிசைப்படுத்தல் படம் x86_64 மற்றும் Aarch64 கட்டமைப்புகளுக்கு உருவாக்கப்படுகிறது. அமேசான் ECS மற்றும் AWS EKS குபெர்னெட்ஸ் கிளஸ்டர்களில் இயங்கும் வகையில் OS மாற்றியமைக்கப்பட்டுள்ளது. உங்கள் சொந்த அசெம்பிளிகள் மற்றும் பதிப்புகளை உருவாக்குவதற்கான கருவிகள், இது மற்ற ஆர்கெஸ்ட்ரேஷன் கருவிகள், கர்னல்கள் மற்றும் கொள்கலன்களுக்கான இயக்க நேரத்தைப் பயன்படுத்தலாம்.
விநியோகமானது லினக்ஸ் கர்னல் மற்றும் குறைந்தபட்ச கணினி சூழலை வழங்குகிறது, இதில் கொள்கலன்களை இயக்க தேவையான கூறுகள் மட்டுமே அடங்கும். திட்டத்தில் ஈடுபட்டுள்ள தொகுப்புகளில் கணினி மேலாளர் systemd, Glibc நூலகம் மற்றும் சட்டசபை கருவிகள் ஆகியவை அடங்கும்.
பில்ட்ரூட், GRUB பூட்லோடர், நெட்வொர்க் கன்ஃபிகரேட்டர் , தனிமைப்படுத்தப்பட்ட கொள்கலன்களுக்கான இயக்க நேரம் , Kubernetes கண்டெய்னர் ஆர்கெஸ்ட்ரேஷன் தளம், aws-iam-authenticator மற்றும் Amazon ECS முகவர்.
விநியோகம் அணுவாக புதுப்பிக்கப்பட்டு, பிரிக்க முடியாத சிஸ்டம் பட வடிவில் வழங்கப்படுகிறது. கணினிக்கு இரண்டு வட்டு பகிர்வுகள் ஒதுக்கப்பட்டுள்ளன, அவற்றில் ஒன்று செயலில் உள்ள அமைப்பைக் கொண்டுள்ளது, மேலும் புதுப்பிப்பு இரண்டாவதாக நகலெடுக்கப்படுகிறது. புதுப்பித்தலுக்குப் பிறகு, இரண்டாவது பகிர்வு செயலில் உள்ளது, முதலில், அடுத்த புதுப்பிப்பு வரும் வரை, கணினியின் முந்தைய பதிப்பு சேமிக்கப்படும், சிக்கல்கள் ஏற்பட்டால் நீங்கள் பின்வாங்கலாம். நிர்வாகி தலையீடு இல்லாமல் புதுப்பிப்புகள் தானாக நிறுவப்படும்.
Fedora CoreOS, CentOS/Red Hat Atomic Host போன்ற ஒத்த விநியோகங்களிலிருந்து முக்கிய வேறுபாடு வழங்குவதில் முதன்மை கவனம் செலுத்துகிறது சாத்தியமான அச்சுறுத்தல்களிலிருந்து கணினி பாதுகாப்பை வலுப்படுத்துவதன் பின்னணியில், OS கூறுகளில் உள்ள பாதிப்புகளைப் பயன்படுத்துவதை மிகவும் கடினமாக்குகிறது மற்றும் கொள்கலன்களின் தனிமைப்படுத்தலை அதிகரிக்கிறது. நிலையான லினக்ஸ் கர்னல் வழிமுறைகளைப் பயன்படுத்தி கொள்கலன்கள் உருவாக்கப்படுகின்றன - cgroups, namespaces மற்றும் seccomp. கூடுதல் தனிமைப்படுத்தலுக்கு, விநியோகமானது "செயல்படுத்தும்" முறையில் SELinux ஐப் பயன்படுத்துகிறது, மேலும் ரூட் பகிர்வின் ஒருமைப்பாட்டின் கிரிப்டோகிராஃபிக் சரிபார்ப்பிற்கு தொகுதி பயன்படுத்தப்படுகிறது. . தொகுதி சாதன மட்டத்தில் தரவை மாற்றும் முயற்சி கண்டறியப்பட்டால், கணினி மறுதொடக்கம் செய்யப்படுகிறது.
ரூட் பகிர்வு படிக்க-மட்டும் ஏற்றப்பட்டுள்ளது, மேலும் /etc அமைப்புகள் பகிர்வு tmpfs இல் ஏற்றப்பட்டு மறுதொடக்கத்திற்குப் பிறகு அதன் அசல் நிலைக்கு மீட்டமைக்கப்படும். /etc/resolv.conf மற்றும் /etc/containerd/config.toml போன்ற /etc கோப்பகத்தில் உள்ள கோப்புகளை நேரடியாக மாற்றுவது ஆதரிக்கப்படவில்லை - அமைப்புகளை நிரந்தரமாக சேமிக்க, நீங்கள் API ஐப் பயன்படுத்த வேண்டும் அல்லது செயல்பாட்டை தனித்தனி கொள்கலன்களுக்கு நகர்த்த வேண்டும்.
பெரும்பாலான கணினி கூறுகள் ரஸ்டில் எழுதப்பட்டுள்ளன, இது இலவச நினைவக அணுகல்கள், பூஜ்ய சுட்டிக்காட்டி குறைபாடுகள் மற்றும் இடையக மீறல்களால் ஏற்படும் பாதிப்புகளைத் தவிர்க்க நினைவக-பாதுகாப்பான அம்சங்களை வழங்குகிறது. முன்னிருப்பாக உருவாக்கும்போது, "--enable-default-pie" மற்றும் "--enable-default-ssp" தொகுத்தல் முறைகள் இயங்கக்கூடிய கோப்புகளின் முகவரி இடத்தின் சீரற்றமயமாக்கலை இயக்க பயன்படுத்தப்படுகின்றன () மற்றும் கேனரி பதிலீடு வழியாக வழிதல் பாதுகாப்பை அடுக்கவும்.
C/C++ இல் எழுதப்பட்ட தொகுப்புகளுக்கு, கூடுதல் கொடிகள் சேர்க்கப்பட்டுள்ளன
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" மற்றும் "-fstack-clash-protection".
கொள்கலன் ஆர்கெஸ்ட்ரேஷன் கருவிகள் தனித்தனியாக வழங்கப்படுகின்றன , இது முன்னிருப்பாக இயக்கப்பட்டு, வழியாக கட்டுப்படுத்தப்படுகிறது மற்றும் AWS SSM முகவர். அடிப்படை படத்தில் கட்டளை ஷெல், SSH சேவையகம் மற்றும் விளக்கப்பட்ட மொழிகள் இல்லை (எடுத்துக்காட்டாக, பைதான் அல்லது பெர்ல் இல்லை) - நிர்வாக கருவிகள் மற்றும் பிழைத்திருத்த கருவிகள் அமைந்துள்ளன , இது இயல்பாகவே முடக்கப்பட்டுள்ளது.
ஆதாரம்: opennet.ru