Bottlerocket estas senpaga kaj malfermfonta Linukso-bazita operaciumo destinita por gastigi ujojn.
La liberigo de nova versio de Bottlerrocket 1.15.0, versio en kiu estis efektivigitaj diversaj ŝanĝoj, plibonigoj kaj ĉefe ĝisdatigoj de la malsamaj sistemaj pakoj, krom tio, ke ekde ĉi tiu versio, subteno por sekura ekŝargo nun estas ofertita en platformoj, kiuj uzas UEFI-boton, inter aliaj aferoj.
Por tiuj, kiuj ne scias pri Bottlerocket, vi devus scii, ke ĉi tio estas distribuo kiu disponigas nedivideblan sistembildon atome kaj aŭtomate ĝisdatigita, kiu inkluzivas la Linuksan kernon kaj minimuman sisteman medion, kiu inkluzivas nur la komponantojn necesajn por ruli ujojn.
La medio uzas systemd sistemmanaĝeron, Glibc-bibliotekon, la Buildroot-konstrua ilo, la GRUB-ŝargilo, la ujo-izolita kontenera rultempo, la Kubernetes-ujo-instrumentadplatformo, la aws-iam aŭtentikigilo kaj la Amazon ECS-agento.
La ŝlosila diferenco de similaj distribuoj kiel Fedora CoreOS, CentOS / Red Hat Atomic Host estas la ĉefa fokuso por havigi maksimuman sekurecon en la kunteksto de plifortigo de la protekto de la sistemo kontraŭ eblaj minacoj, kio komplikas la ekspluaton de vundeblecoj en la komponantoj de la operaciumo kaj pliigas la izoladon de la ujo.
Ĉefaj novecoj de Bottlerocket 1.15.0
En ĉi tiu nova versio de Bottlerocket 1.15.0 kiu estas prezentita, granda nombro da ĝisdatigoj estis efektivigitaj, el kiuj tiuj de la Linukso-kerno, kiu estis ĝisdatigita al versio 6.1, sistemo kiu estis ĝisdatigita al versio 252, nvidia-container-toolkit al 1.13.5, containerd al versio 1.6.23, glibc al versio 2.38, inter aliaj.
Koncerne la internajn ŝanĝojn kiujn ĉi tiu versio de Bottlerocket 1.15.0 proponas, la subteno por sekura lanĉo en platformoj uzante U-botonEFI, systemd-networkd kaj systemd-solvita por gastigaj retoj kaj XFS kiel dosiersistemo por loka stokado por novaj instalaĵoj. Menciindas, ke ĉi tiuj funkcioj estas ebligitaj defaŭlte ĉe novaj instalaĵoj kaj ke ekzistantaj instalaĵoj daŭre uzos pli malnovajn kernojn, malbonajn por gastigaj retoj, kaj EXT4 kiel la dosiersistemon por loka stokado.
Aldone al ĉi tio, novaj distribuopcioj estis proponitaj kun subteno por Kubernetes 1.28, kiuj uzas UEFI Secure Boot, systemd-networkd kaj XFS, kiu nun estas malnoviĝinta subteno por versioj bazitaj sur antaŭa Kubernetes 1.27.
Aliaj ŝanĝoj kiuj elstaras en ĉi tiu nova versio estas tio aldonis komandon "apclient report" por generi CIS-raporton (Interreta Sekureccentro) kiu taksas la sekurecon de la agordo. Agento ankaŭ estas inkluzivita por kontroli la konformecon de la sistemo kun CIS-postuloj.
El la aliaj ŝanĝoj kiuj elstaras de ĉi tiu nova versio:
- La agordo SeccompDefault estis aldonita al variantoj bazitaj sur Kubernetes 1.25 kaj pli novaj.
- Aldonita aws-iam-authenticator al k8s-variaĵoj
- La enhavo de la kontrolaj kaj administraj ujoj estis ĝisdatigitaj.
- Rimeda limo-agordoj estis aldonitaj al la defaŭlta agordo por OCI-ujoj.
- Intel VMD-ŝoforo ebligita
- Nova distribua varianto "aws-ecs-2" estas proponita por Amazon Elastic Container Service (Amazon ECS), kiu uzas UEFI Secure Boot, systemd-networkd kaj XFS.
- Ĉiuj Amazon ECS-distribuoj nun inkluzivas subtenon por AppMesh.
- La distribuaj variantoj "metal-*" (Bare Metal, por funkcii per konvencia aparataro) inkluzivas la Intel VMD-ŝoforon kaj aldonas la pakaĵojn linux-firmware kaj aws-iam-authenticator.
- Bottlerocket SDK v0.34.1 Ĝisdatigo
- Dulitro estas uzata por permesi labori pri konstruoj ekster la arbo. Plej multaj iloj translokiĝis al Twoliter
- Limigu nur samtempecon dum kreado de RPM
Laste sed ne malplej, estas ankaŭ menciite, ke la funkcieco por apliki flikilon por log4j (CVE-2021-44228) estis forigita en kiu la responda agordo, settings.oci-hooks.log4j-hotpatch-enabled ankoraŭ disponeblas por malantaŭen. kongruo. Tamen, ĝi havas neniun efikon krom presado de malrekomenda averto en la sistemaj protokoloj.
fine se vi estas interesata scii pli pri ĝi, vi povas kontroli la detalojn en la sekva ligilo.