Bottlerocket 1.3.0 Linux ڈسٹری بیوشن کا اجراء شائع کیا گیا ہے، جسے ایمیزون کی شراکت سے تیار کیا گیا ہے تاکہ الگ تھلگ کنٹینرز کو مؤثر طریقے سے اور محفوظ طریقے سے چلایا جا سکے۔ تقسیم کے ٹول کٹ اور کنٹرول اجزاء زنگ میں لکھے گئے ہیں اور MIT اور Apache 2.0 لائسنس کے تحت تقسیم کیے گئے ہیں۔ یہ Amazon ECS، VMware، اور AWS EKS Kubernetes کلسٹرز پر Bottlerocket چلانے کے ساتھ ساتھ اپنی مرضی کے مطابق تعمیرات اور ایڈیشنز بنانے کی حمایت کرتا ہے جو کنٹینرز کے لیے مختلف آرکیسٹریشن اور رن ٹائم ٹولز کی اجازت دیتے ہیں۔
تقسیم ایک ایٹمی اور خود بخود اپڈیٹ شدہ ناقابل تقسیم نظام کی تصویر فراہم کرتی ہے جس میں لینکس کرنل اور کم سے کم سسٹم ماحول شامل ہوتا ہے جس میں کنٹینرز کو چلانے کے لیے ضروری اجزاء شامل ہوتے ہیں۔ ماحول میں سسٹمڈ سسٹم مینیجر، Glibc لائبریری، Buildroot بلڈ ٹول، GRUB بوٹ لوڈر، ویکڈ نیٹ ورک کنفیگریٹر، کنٹینرڈ الگ تھلگ کنٹینر رن ٹائم، Kubernetes کنٹینر آرکیسٹریشن پلیٹ فارم، aws-iam-authenticator، اور Amazon ECS ایجنٹ شامل ہیں۔ .
کنٹینر آرکیسٹریشن ٹولز ایک علیحدہ مینجمنٹ کنٹینر میں آتے ہیں جو بطور ڈیفالٹ فعال ہوتا ہے اور API اور AWS SSM ایجنٹ کے ذریعے منظم ہوتا ہے۔ بیس امیج میں کمانڈ شیل، ایک SSH سرور، اور تشریح شدہ زبانوں کا فقدان ہے (مثال کے طور پر، کوئی ازگر یا پرل نہیں) - انتظامی اور ڈیبگنگ ٹولز کو ایک علیحدہ سروس کنٹینر میں منتقل کیا جاتا ہے، جو بطور ڈیفالٹ غیر فعال ہوتا ہے۔
Fedora CoreOS، CentOS/Red Hat Atomic Host جیسی تقسیم سے اہم فرق ممکنہ خطرات کے خلاف نظام کے تحفظ کو مضبوط بنانے، OS اجزاء میں کمزوریوں کے استحصال کو پیچیدہ بنانے اور کنٹینر کی تنہائی کو بڑھانے کے تناظر میں زیادہ سے زیادہ تحفظ فراہم کرنے پر بنیادی توجہ ہے۔ کنٹینرز لینکس کرنل کے باقاعدہ میکانزم - cgroups، namespaces اور seccomp کا استعمال کرتے ہوئے بنائے جاتے ہیں۔ اضافی تنہائی کے لیے، تقسیم SELinux کو "انفورسنگ" موڈ میں استعمال کرتی ہے۔
روٹ پارٹیشن کو صرف پڑھنے کے موڈ میں نصب کیا جاتا ہے، اور /etc ترتیبات کے ساتھ پارٹیشن کو tmpfs میں نصب کیا جاتا ہے اور دوبارہ شروع کرنے کے بعد اس کی اصل حالت میں بحال کیا جاتا ہے۔ /etc ڈائریکٹری میں فائلوں کی براہ راست ترمیم، جیسے /etc/resolv.conf اور /etc/containerd/config.toml، تعاون یافتہ نہیں ہے - ترتیبات کو مستقل طور پر محفوظ کرنے کے لیے، آپ کو API کا استعمال کرنا چاہیے یا فعالیت کو الگ کنٹینرز میں منتقل کرنا چاہیے۔ روٹ پارٹیشن کی سالمیت کی کرپٹوگرافک تصدیق کے لیے، dm-verity ماڈیول استعمال کیا جاتا ہے، اور اگر بلاک ڈیوائس کی سطح پر ڈیٹا میں ترمیم کرنے کی کوشش کا پتہ چلا، تو سسٹم دوبارہ شروع ہو جاتا ہے۔
سسٹم کے زیادہ تر اجزاء رسٹ میں لکھے گئے ہیں، جو میموری کے لیے محفوظ ٹولز فراہم کرتا ہے تاکہ میموری کے علاقے کو آزاد ہونے کے بعد اس کو ایڈریس کرنے کی وجہ سے پیدا ہونے والی کمزوریوں سے بچا جا سکے، نال پوائنٹرز کا حوالہ دینا، اور بفر اووررنز۔ تعمیر کرتے وقت، کمپائلیشن موڈز "--enable-default-pie" اور "-enable-default-ssp" بطور ڈیفالٹ استعمال کیے جاتے ہیں تاکہ ایگزیکیوٹیبل ایڈریس اسپیس رینڈمائزیشن (PIE) اور کینری لیبل متبادل کے ذریعے اسٹیک اوور فلو سے تحفظ کو فعال کیا جاسکے۔ C/C++ میں لکھے ہوئے پیکجز کے لیے، "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" اور "-fstack-clash" جھنڈے اضافی ہیں۔ شامل - تحفظ.
نئی ریلیز میں:
- ڈاکر اور رن ٹائم کنٹینرڈ ٹولز (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) میں فکسڈ کمزوریاں رسائی کے حقوق کی غلط ترتیب سے متعلق ہیں، جس سے صارفین کو غیر قانونی طور پر جانے کی اجازت دی گئی۔ ڈائریکٹری اور خارجی پروگراموں پر عمل درآمد۔
- آئی پی وی 6 سپورٹ کوبیلیٹ اور پلوٹو میں شامل کیا گیا ہے۔
- کنٹینر کی ترتیبات کو تبدیل کرنے کے بعد اسے دوبارہ شروع کرنا ممکن ہے۔
- ایمیزون EC2 M6i مثالوں کے لیے سپورٹ eni-max-pods پیکیج میں شامل کر دیا گیا ہے۔
- Open-vm-tools نے Cilium ٹول کٹ کی بنیاد پر ڈیوائس فلٹرز کے لیے تعاون شامل کیا ہے۔
- x86_64 پلیٹ فارم کے لیے، ایک ہائبرڈ بوٹ موڈ لاگو کیا جاتا ہے (EFI اور BIOS کی حمایت کے ساتھ)۔
- زنگ زبان کے لیے پیکیج کے ورژن اور انحصار کو اپ ڈیٹ کیا گیا۔
- Kubernetes 8 پر مبنی ڈسٹری بیوشن ویرینٹ aws-k1.17s-1.17 کے لیے سپورٹ بند کر دیا گیا ہے۔ Kubernetes 8 کی حمایت کے ساتھ aws-k1.21s-1.21 ورژن استعمال کرنے کی سفارش کی جاتی ہے۔ k8s کی مختلف حالتیں cgroup runtime.slice اور system.slice کی ترتیبات استعمال کرتی ہیں۔
ماخذ: opennet.ru