Fa pocs dies Amazon va donar a conèixer l'alliberament de la primera versió significativa de Bottlerocket 1.0.0, La qual és una distribució especialitzada de Linux dissenyada per executar contenidors aïllats de manera eficient i segura.
El sistema operatiu està adaptat per a executar-se en clústers d'Amazon ECS i AWS EKS Kubernetes. Es proporcionen eines per crear els seus propis acoblats i revisions, que poden fer servir altres eines d'orquestració, nuclis i temps d'execució per a contenidors.
La distribució proporciona un nucli de Linux i un entorn de sistema mínim, que inclou només els components necessaris per executar contenidors.
Entre els paquets involucrats en el projecte es van destacar l'administrador de sistema systemd, la biblioteca Glibc to, les eines d'acoblament buildroot, el configurador de l'carregador d'arrencada GRUB network wicked, el temps d'execució per a contenidors aïllats en contenidor, la plataforma d'orquestració Kubernetes Container Authenticator AWS-iam-Authenticator agent i Amazon ECS.
La distribució s'actualitza atòmicament i es presenta en forma d'una imatge de sistema indivisible. S'assignen dues particions de disc per al sistema, una de les quals conté el sistema actiu i l'actualització es copia en la segona.
Un cop implementada l'actualització, s'activa la segona secció, i en la primera, fins que arriba la propera actualització, es guarda la versió anterior de el sistema, a la qual es pot revertir en cas de problemes. Les actualitzacions s'instal·len automàticament sense la intervenció de l'administrador.
La diferència clau pel que fa a distribucions similars com Fedora coreos, CentOS / Red Hat Atomic Host és l'enfocament principal en garantir la màxima seguretat en el context d'enfortir la protecció de sistema contra possibles amenaces, complicant l'explotació de vulnerabilitats en els components de sistema operatiu i augmentant l'aïllament de contenidors.
Els contenidors es creen utilitzant els mecanismes estàndard de el nucli de Linux: cgroups, namespaces i seccomp. Per a un aïllament addicional, la distribució fa servir SELinux en mode de «aplicació» i el mòdul dm-Verity s'usa per a la verificació criptogràfica de la integritat de la partició root.
Si es detecta un intent de modificar dades en el nivell de el dispositiu de bloc, el sistema es reinicia.
La partició root es munta com de sol lectura i la partició de configuració / etc es munta en tmpfs i es restaura al seu estat original a l'reiniciar.
No s'admet la modificació directa d'arxius en el directori / etc, com /etc/resolv.conf i /etc/containerd/config.toml, per guardar permanentment la configuració, utilitzar l'API o moure la funcionalitat a contenidors separats.
La majoria dels components de sistema estan escrits en el llenguatge Rust, El que proporciona un mitjà per a la manipulació segura de la memòria per evitar vulnerabilitats causades per accedir a una àrea de memòria després que s'allibera, desreferenciar punters nuls i desbordar els límits de la memòria intermèdia.
A l'compilar, les maneres de compilació «-enable-default-peu» i «-enable-default-ssp» s'utilitzen per defecte per habilitar l'aleatorització de l'espai d'adreces executable (PIE) i per protegir contra el desbordament de la pila mitjançant la substitució d'etiquetes canàries.
Per a paquets escrits en C / C ++, els indicadors «-Wall», «-Werror = format-security», «-Wp, -D_FORTIFY_SOURCE = 2», «-Wp, -D_GLIBCXX_ASSERTIONS» i «-fstack-clash - protecció ».
Les eines d'orquestració de contenidors s'envien en un contenidor d'administració separat que està habilitat per defecte i administrat a través de l'API i l'agent de AWS SSM.
La imatge base manca d'un shell de comandaments, un servidor SSH i llenguatges interpretats (per exemple, sense Python o Perl): les eines per a l'administrador i les eines de depuració es mouen a un contenidor de serveis separat, que està deshabilitat de manera defecte.
Obtenir Bottlerocket 1.0.0
Tant la distribució, així com els components de control de la distribució estan escrits a Rust i es distribueixen sota les llicències MIT i Apache 2.0. El projecte s'està desenvolupant en GitHub i està disponible per a la participació comunitària.
La imatge d'implementació de sistema es genera per a les arquitectures x86_64 i Aarch64.
Per a més informació, pots consultar el següent enllaç.