מעלדונג פון Bottlerocket 1.3, אַ פאַרשפּרייטונג באזירט אויף אפגעזונדערט קאַנטיינערז

די מעלדונג פון די לינוקס פאַרשפּרייטונג Bottlerocket 1.3.0 איז ארויס, דעוועלאָפּעד מיט דער אָנטייל פון אַמאַזאָן פֿאַר די עפעקטיוו און זיכער קאַטער פון אפגעזונדערט קאַנטיינערז. די מכשירים און קאָנטראָל קאַמפּאָונאַנץ פון די פאַרשפּרייטונג זענען געשריבן אין רוסט און פונאנדערגעטיילט אונטער די MIT און Apache 2.0 לייסאַנסיז. עס שטיצט פליסנדיק באָטטלעראָקקעט אויף Amazon ECS, VMware און AWS EKS Kubernetes קלאַסטערז, ווי געזונט ווי קריייטינג מנהג בויען און אַדישאַנז וואָס לאָזן די נוצן פון פאַרשידן אָרקעסטראַטיאָן און רונטימע מכשירים פֿאַר קאַנטיינערז.

די פאַרשפּרייטונג גיט אַן אַטאָמישע און אויטאָמאַטיש דערהייַנטיקט ינדיוויסיבאַל סיסטעם בילד וואָס כולל די לינוקס קערן און אַ מינימאַל סיסטעם סוויווע, אַרייַנגערעכנט בלויז די קאַמפּאָונאַנץ נייטיק צו לויפן קאַנטיינערז. די סוויווע ינקלודז די סיסטעם פאַרוואַלטער, די Glibc ביבליאָטעק, די Buildroot בויען געצייַג, די GRUB שטיוול לאָודער, די שלעכט נעץ קאַנפיגיערייטער, די קאַנטיינד רונטימע פֿאַר אפגעזונדערט קאַנטיינערז, די Kubernetes קאַנטיינער אָרטשעסטראַטיאָן פּלאַטפאָרמע, די aws-iam-authenticator און דער אַמאַזאָן. ECS אַגענט.

קאַנטיינער אָרקעסטראַטיאָן מכשירים קומען אין אַ באַזונדער פאַרוואַלטונג קאַנטיינער וואָס איז ענייבאַלד דורך פעליקייַט און געראטן דורך די API און AWS SSM אַגענט. די באַזע בילד פעלן אַ באַפֿעל שאָל, SSH סערווער און ינטערפּראַטאַד שפּראַכן (פֿאַר בייַשפּיל, קיין פּיטהאָן אָדער פּערל) - אַדמיניסטראַטיווע מכשירים און דיבאַגינג מכשירים זענען געשטעלט אין אַ באַזונדער דינסט קאַנטיינער, וואָס איז פאַרקריפּלט דורך פעליקייַט.

דער שליסל חילוק פון ענלעך דיסטריביושאַנז אַזאַ ווי Fedora CoreOS, CentOS / Red Hat Atomic Host איז די ערשטיק פאָקוס אויף פּראַוויידינג מאַקסימום זיכערהייט אין דעם קאָנטעקסט פון פֿאַרשטאַרקונג סיסטעם שוץ פון מעגלעך טרעץ, מאכן עס מער שווער צו גווורע וואַלנעראַביליטיז אין אַס קאַמפּאָונאַנץ און ינקריסינג קאַנטיינער אפגעזונדערטקייט. . קאַנטיינערז זענען באשאפן מיט נאָרמאַל לינוקס קערן מעקאַניזאַמז - cgroups, namespaces און seccomp. פֿאַר נאָך אפגעזונדערטקייט, די פאַרשפּרייטונג ניצט SELinux אין "ענפאָרסינג" מאָדע.

דער וואָרצל צעטיילונג איז מאָונטעד בלויז צו לייענען, און די / עטק סעטטינגס צעטיילונג איז מאָונטעד אין tmpfs און געזונט צו זיין אָריגינעל שטאַט נאָך ריסטאַרט. דירעקט מאָדיפיקאַטיאָן פון טעקעס אין די /etc וועגווייַזער, אַזאַ ווי /etc/resolv.conf און /etc/containerd/config.toml, איז נישט געשטיצט - צו פּערמאַנאַנטלי ראַטעווען סעטטינגס, איר מוזן נוצן די אַפּי אָדער אַריבערפירן די פאַנגקשאַנאַליטי אין באַזונדער קאַנטיינערז. די DM-verity מאָדולע איז געניצט צו קריפּטאָגראַפיקלי באַשטעטיקן די אָרנטלעכקייַט פון דער וואָרצל צעטיילונג, און אויב אַ פּרווון צו מאָדיפיצירן דאַטן אויף די בלאָק מיטל מדרגה איז דיטעקטאַד, די סיסטעם רעבאָאָץ.

רובֿ סיסטעם קאַמפּאָונאַנץ זענען געשריבן אין Rust, וואָס גיט זיקאָרן-זיכער פֿעיִקייטן צו ויסמיידן וואַלנעראַביליטיז געפֿירט דורך נאָך-פריי זכּרון אַקסעס, נאַל טייַטל דיפעראַנסיז און באַפער אָוווערראַנז. ווען בנין דורך פעליקייַט, די זאַמלונג מאָדעס "-enable-default-pie" און "-enable-default-ssp" זענען געניצט צו געבן ראַנדאַמיזיישאַן פון די עקסעקוטאַבלע טעקע אַדרעס פּלאַץ (PIE) און שוץ קעגן סטאַק אָוווערפלאָוז דורך קאַנאַרי סאַבסטיטושאַן. פֿאַר פּאַקידזשיז געשריבן אין C / C ++, די פלאַגס "-Wall", "-Werror = פֿאָרמאַט-זיכערהייַט", "-Wp,-D_FORTIFY_SOURCE = 2", "-Wp,-D_GLIBCXX_ASSERTIONS" און "-fstack-clash" זענען אַדישנאַלי. ענייבאַלד -שוץ".

אין די נייַע מעלדונג:

• פאַרפעסטיקט וואַלנעראַביליטיז אין דאָקקער און רונטימע קאַנטיינערד מכשירים (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) שייַכות צו פאַלש באַשטעטיקן פון אַקסעס רעכט, וואָס ערלויבט אַנפּריווילאַדזשד ניצערס צו גיין ווייַטער פון די באַזע וועגווייַזער און ויספירן פונדרויסנדיק מגילה.
• IPv6 שטיצן איז צוגעלייגט צו קובעלעט און פּלוטאָ.
• עס איז מעגלעך צו ריסטאַרט דעם קאַנטיינער נאָך טשאַנגינג זייַן סעטטינגס.
• שטיצן פֿאַר Amazon EC2 M6i ינסטאַנסיז איז צוגעגעבן צו די eni-max-pods פּעקל.
• Open-vm-tools האט צוגעלייגט שטיצן פֿאַר מיטל פילטערס באזירט אויף די סיליום טאָאָלקיט.
• פֿאַר די x86_64 פּלאַטפאָרמע, אַ כייבריד שטיוול מאָדע איז ימפּלאַמענאַד (מיט שטיצן פֿאַר EFI און בייאָוס).
• דערהייַנטיקט פּעקל ווערסיעס און דיפּענדאַנסיז פֿאַר די רוסט שפּראַך.
• שטיצן פֿאַר די פאַרשפּרייטונג וואַריאַנט aws-k8s-1.17 באזירט אויף Kubernetes 1.17 איז דיסקאַנטיניוד. עס איז רעקאַמענדיד צו נוצן די aws-k8s-1.21 ווערסיע מיט שטיצן פֿאַר Kubernetes 1.21. די ק8ס וועריאַנץ נוצן די cgroup runtime.slice און system.slice סעטטינגס.

מקור: opennet.ru