لینکس ڈسٹری بیوشن Bottlerocket 1.2.0 کی ریلیز دستیاب ہے، جسے الگ تھلگ کنٹینرز کے موثر اور محفوظ آغاز کے لیے Amazon کی شراکت سے تیار کیا گیا ہے۔ ڈسٹری بیوشن کے ٹولز اور کنٹرول اجزاء زنگ میں لکھے گئے ہیں اور MIT اور Apache 2.0 لائسنس کے تحت تقسیم کیے گئے ہیں۔ یہ Amazon ECS، VMware اور AWS EKS Kubernetes کلسٹرز پر Bottlerocket کو چلانے کے ساتھ ساتھ اپنی مرضی کے مطابق تعمیرات اور ایڈیشن بنانے کی حمایت کرتا ہے جو کنٹینرز کے لیے مختلف آرکیسٹریشن اور رن ٹائم ٹولز کے استعمال کی اجازت دیتے ہیں۔
تقسیم ایک ایٹمی اور خود بخود اپڈیٹ شدہ ناقابل تقسیم نظام کی تصویر فراہم کرتی ہے جس میں لینکس کرنل اور کم سے کم سسٹم ماحول شامل ہوتا ہے جس میں کنٹینرز کو چلانے کے لیے ضروری اجزاء شامل ہوتے ہیں۔ ماحول میں سسٹمڈ سسٹم مینیجر، Glibc لائبریری، Buildroot بلڈ ٹول، GRUB بوٹ لوڈر، ویکڈ نیٹ ورک کنفیگریٹر، کنٹینرڈ الگ تھلگ کنٹینر رن ٹائم، Kubernetes کنٹینر آرکیسٹریشن پلیٹ فارم، aws-iam-authenticator، اور Amazon ECS ایجنٹ شامل ہیں۔ .
کنٹینر آرکیسٹریشن ٹولز ایک علیحدہ مینجمنٹ کنٹینر میں آتے ہیں جو بطور ڈیفالٹ فعال ہوتا ہے اور API اور AWS SSM ایجنٹ کے ذریعے منظم ہوتا ہے۔ بیس امیج میں کمانڈ شیل، ایک SSH سرور، اور تشریح شدہ زبانوں کا فقدان ہے (مثال کے طور پر، کوئی ازگر یا پرل نہیں) - انتظامی اور ڈیبگنگ ٹولز کو ایک علیحدہ سروس کنٹینر میں منتقل کیا جاتا ہے، جو بطور ڈیفالٹ غیر فعال ہوتا ہے۔
Fedora CoreOS، CentOS/Red Hat Atomic Host جیسی تقسیم سے اہم فرق ممکنہ خطرات کے خلاف نظام کے تحفظ کو مضبوط بنانے، OS اجزاء میں کمزوریوں کے استحصال کو پیچیدہ بنانے اور کنٹینر کی تنہائی کو بڑھانے کے تناظر میں زیادہ سے زیادہ تحفظ فراہم کرنے پر بنیادی توجہ ہے۔ کنٹینرز لینکس کرنل کے باقاعدہ میکانزم - cgroups، namespaces اور seccomp کا استعمال کرتے ہوئے بنائے جاتے ہیں۔ اضافی تنہائی کے لیے، تقسیم SELinux کو "انفورسنگ" موڈ میں استعمال کرتی ہے۔
روٹ پارٹیشن کو صرف پڑھنے کے موڈ میں نصب کیا جاتا ہے، اور /etc ترتیبات کے ساتھ پارٹیشن کو tmpfs میں نصب کیا جاتا ہے اور دوبارہ شروع کرنے کے بعد اس کی اصل حالت میں بحال کیا جاتا ہے۔ /etc ڈائریکٹری میں فائلوں کی براہ راست ترمیم، جیسے /etc/resolv.conf اور /etc/containerd/config.toml، تعاون یافتہ نہیں ہے - ترتیبات کو مستقل طور پر محفوظ کرنے کے لیے، آپ کو API کا استعمال کرنا چاہیے یا فعالیت کو الگ کنٹینرز میں منتقل کرنا چاہیے۔ روٹ پارٹیشن کی سالمیت کی کرپٹوگرافک تصدیق کے لیے، dm-verity ماڈیول استعمال کیا جاتا ہے، اور اگر بلاک ڈیوائس کی سطح پر ڈیٹا میں ترمیم کرنے کی کوشش کا پتہ چلا، تو سسٹم دوبارہ شروع ہو جاتا ہے۔
سسٹم کے زیادہ تر اجزاء رسٹ میں لکھے گئے ہیں، جو میموری کے لیے محفوظ ٹولز فراہم کرتا ہے تاکہ میموری کے علاقے کو آزاد ہونے کے بعد اس کو ایڈریس کرنے کی وجہ سے پیدا ہونے والی کمزوریوں سے بچا جا سکے، نال پوائنٹرز کا حوالہ دینا، اور بفر اووررنز۔ تعمیر کرتے وقت، کمپائلیشن موڈز "--enable-default-pie" اور "-enable-default-ssp" بطور ڈیفالٹ استعمال کیے جاتے ہیں تاکہ ایگزیکیوٹیبل ایڈریس اسپیس رینڈمائزیشن (PIE) اور کینری لیبل متبادل کے ذریعے اسٹیک اوور فلو سے تحفظ کو فعال کیا جاسکے۔ C/C++ میں لکھے ہوئے پیکجز کے لیے، "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" اور "-fstack-clash" جھنڈے اضافی ہیں۔ شامل - تحفظ.
نئی ریلیز میں:
- کنٹینر امیج رجسٹری آئینے کے لیے سپورٹ شامل کر دی گئی۔
- خود دستخط شدہ سرٹیفکیٹ استعمال کرنے کی صلاحیت شامل کی گئی۔
- میزبان نام کو ترتیب دینے کا اختیار شامل کیا گیا۔
- انتظامی کنٹینر کا ڈیفالٹ ورژن اپ ڈیٹ کر دیا گیا ہے۔
- کیوبلیٹ کے لیے ٹوپولوجی مینجر پالیسی اور ٹاپولوجی مینجر اسکوپ سیٹنگز کو شامل کیا گیا۔
- zstd الگورتھم کا استعمال کرتے ہوئے کرنل کمپریشن کے لیے معاونت شامل کی گئی۔
- ورچوئل مشینوں کو VMware میں OVA (اوپن ورچوئلائزیشن فارمیٹ) فارمیٹ میں لوڈ کرنے کی صلاحیت فراہم کی گئی ہے۔
- ڈسٹری بیوشن ورژن aws-k8s-1.21 کو Kubernetes 1.21 کی حمایت کے ساتھ اپ ڈیٹ کر دیا گیا ہے۔ aws-k8s-1.16 کے لیے سپورٹ بند کر دی گئی ہے۔
- زنگ زبان کے لیے پیکیج کے ورژن اور انحصار کو اپ ڈیٹ کیا گیا۔
ماخذ: opennet.ru