Công ty Amazon
Bản phân phối này cung cấp nhân Linux và môi trường hệ thống tối thiểu, chỉ bao gồm các thành phần cần thiết để chạy các thùng chứa. Trong số các gói tham gia dự án có hệ thống quản lý hệ thống, thư viện Glibc và các công cụ lắp ráp
Buildroot, bộ tải khởi động GRUB, bộ cấu hình mạng
Bản phân phối được cập nhật nguyên tử và được phân phối dưới dạng hình ảnh hệ thống không thể phân chia. Hai phân vùng đĩa được phân bổ cho hệ thống, một trong số đó chứa hệ thống đang hoạt động và bản cập nhật được sao chép sang phân vùng thứ hai. Sau khi bản cập nhật được triển khai, phân vùng thứ hai sẽ hoạt động và trong phân vùng đầu tiên, cho đến khi có bản cập nhật tiếp theo, phiên bản trước của hệ thống sẽ được lưu, bạn có thể quay lại nếu có vấn đề phát sinh. Các bản cập nhật được cài đặt tự động mà không cần sự can thiệp của quản trị viên.
Điểm khác biệt chính so với các bản phân phối tương tự như Fedora CoreOS, CentOS/Red Hat Atomic Host là trọng tâm chính là cung cấp
Phân vùng gốc được gắn ở chế độ chỉ đọc và phân vùng cài đặt /etc được gắn vào tmpfs và được khôi phục về trạng thái ban đầu sau khi khởi động lại. Không hỗ trợ sửa đổi trực tiếp các tệp trong thư mục /etc, chẳng hạn như /etc/resolv.conf và /etc/containerd/config.toml - để lưu vĩnh viễn cài đặt, bạn phải sử dụng API hoặc di chuyển chức năng này vào các vùng chứa riêng biệt.
Hầu hết các thành phần hệ thống được viết bằng Rust, cung cấp các tính năng an toàn cho bộ nhớ để tránh các lỗ hổng do truy cập bộ nhớ sau khi rảnh, hủy tham chiếu con trỏ null và lỗi tràn bộ đệm. Khi xây dựng theo mặc định, các chế độ biên dịch “--enable-default-pie” và “--enable-default-ssp” được sử dụng để cho phép ngẫu nhiên hóa không gian địa chỉ của các tệp thực thi (
Đối với các gói được viết bằng C/C++, có thêm cờ bổ sung
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" và "-fstack-clash-protection".
Công cụ điều phối vùng chứa được cung cấp riêng
Nguồn: opennet.ru