наскоро стартирането беше обявено на новата версия на дистрибуцията на Linux "Бутилка 1.7.0", разработен с участието на Amazon, за ефективно и сигурно управление на изолирани контейнери.
За тези, които са нови в Bottlerocket, трябва да знаете, че това е дистрибуция, която осигурява автоматично атомно актуално неделимо изображение на системата, което включва ядрото на Linux и минимална системна среда, която включва само компонентите, необходими за стартиране на контейнери.
За Bottlerocket
Околната среда използва системен мениджър на systemd, библиотека Glibc, инструментът за изграждане на Buildroot, зареждащият инструмент GRUB, средата за изпълнение на контейнерната среда, платформата за оркестриране на контейнери Kubernetes, аутентификаторът aws-iam и агентът на Amazon ECS.
Инструментите за оркестриране на контейнери се предлагат в отделен контейнер за управление, който е активиран по подразбиране и се управлява чрез AWS SSM агент и API. В базовото изображение липсват командна обвивка, SSH сървър и интерпретирани езици (например Python или Perl): инструментите за администриране и отстраняване на грешки се преместват в отделен контейнер за услуги, който е деактивиран по подразбиране.
Основната разлика от подобни дистрибуции като Fedora CoreOS, CentOS / Red Hat Atomic Host е основният фокус върху осигуряването на максимална сигурност в контекста на засилване на защитата на системата срещу възможни заплахи, което усложнява експлоатацията на уязвимости в компонентите на операционната система и повишава изолацията на контейнера.
Контейнерите се създават с помощта на обичайните механизми на ядрото на Linux: cgroups, namespaces и seccomp. За допълнителна изолация, дистрибуцията използва SELinux в режим "приложение".
Основният дял е монтиран само за четене и дялът с конфигурацията /etc се монтира в tmpfs и се възстановява в първоначалното си състояние след рестартиране. Директната модификация на файлове в директорията /etc, като /etc/resolv.conf и /etc/containerd/config.toml, не се поддържа; за да запазите конфигурацията за постоянно, трябва или да използвате API, или да преместите функционалността в отделни контейнери.
За криптографска проверка на целостта на основния дял се използва модулът dm-verity и ако се открие опит за промяна на данни на ниво блоково устройство, системата се рестартира.
Повечето от системните компоненти са написани на Rust, който осигурява безопасни за паметта инструменти за предотвратяване на уязвимости, причинени от адресиране на област на паметта, след като е била освободена, дереферентни нулеви указатели и препълване на буфер.
При компилиране, режимите на компилиране „–enable-default-pie“ и „–enable-default-ssp“ се използват по подразбиране, за да се даде възможност за рандомизиране на изпълнимо адресно пространство (PIE) и защита от препълване на стека чрез заместване на етикет canary.
Какво е новото в Bottlerocket 1.7.0?
В тази нова версия на дистрибуцията, която е представена, една от промените, които се открояват, е това при инсталиране на RPM пакети е предвидено генериране на списък с програми във формат JSON и го монтирайте към хост контейнера като /var/lib/bottlerocket/inventory/application.json файл, за да получите информация за наличните пакети.
Също така в Bottlerocket 1.7.0 е актуализиране на контейнерите "admin" и "control"., както и пакетни версии и зависимости за Go и Rust.
От друга страна, акценти актуализирани версии на пакети с програми на трети страни, също поправени проблеми с конфигурацията на tmpfilesd за kmod-5.10-nvidia и при инсталиране на tuftool версиите на зависимост са свързани.
И накрая за тези, които са Интересува се да науча повече за това относно тази дистрибуция, трябва да знаете, че инструментариумът и компонентите за контрол на разпространението са написани на Rust и се разпространяват под лицензите MIT и Apache 2.0.
Бутилка поддържа работа на Amazon ECS, VMware и AWS EKS Kubernetes клъстери, както и създаване на персонализирани компилации и издания, които позволяват различни оркестрации и инструменти за изпълнение за контейнери.
Можете да проверите подробностите, В следващия линк.