äskettäin lanseeraus julkistettiin Linux-jakelun uudesta versiosta "Bottlerocket 1.7.0", joka on kehitetty yhdessä Amazonin kanssa, jotta voidaan käyttää eristettyjä säiliöitä tehokkaasti ja turvallisesti.
Niiden, jotka ovat uusia Bottlerocketissa, sinun tulee tietää, että tämä on jakelu, joka tarjoaa automaattisesti atomisesti ajan tasalla jakamattoman järjestelmäkuvan, joka sisältää Linux-ytimen ja minimaalisen järjestelmäympäristön, joka sisältää vain säilöjen suorittamiseen tarvittavat komponentit.
Tietoja Bottlerocketista
Ympäristö käyttää systemd-järjestelmänhallintaa, Glibc-kirjastoa, Buildroot-koontityökalu, GRUB-käynnistyslataaja, konttihiekkalaatikon ajonaika, Kubernetes-säilön orkestrointialusta, aws-iam-todennusohjelma ja Amazon ECS -agentti.
Säilön organisointityökalut toimitetaan erillisessä hallintasäiliössä, joka on oletuksena käytössä ja jota hallitaan AWS SSM -agentin ja API:n kautta. Peruskuvasta puuttuu komentokulli, SSH-palvelin ja tulkitut kielet (esim. Python tai Perl): hallinta- ja virheenkorjaustyökalut siirretään erilliseen palvelusäilöön, joka on oletuksena pois käytöstä.
Keskeinen ero vastaaviin jakeluihin kuten Fedora CoreOS, CentOS / Red Hat Atomic Host on pääpaino maksimaalisen turvallisuuden tarjoamisessa järjestelmän suojauksen vahvistamisen yhteydessä mahdollisia uhkia vastaan, mikä vaikeuttaa käyttöjärjestelmän komponenttien haavoittuvuuksien hyödyntämistä ja lisää kontin eristäytymistä.
Säilöt luodaan käyttämällä tavallisia Linux-ytimen mekanismeja: cgroups, namespaces ja seccomp. Lisäeristystä varten jakelu käyttää SELinuxia "sovellus"-tilassa.
Juuriosio on asennettu vain luku -tilassa ja osio /etc-kokoonpanolla asennetaan tmpfs-tiedostoon ja palautetaan alkuperäiseen tilaan uudelleenkäynnistyksen jälkeen. /etc-hakemistossa olevien tiedostojen, kuten /etc/resolv.conf ja /etc/containerd/config.toml, suoraa muokkaamista ei tueta. tallentaaksesi kokoonpanon pysyvästi, sinun on joko käytettävä API:ta tai siirrettävä toiminnallisuus erillisiin säilöihin.
Juuriosion eheyden kryptografiseen varmentamiseen käytetään dm-verity-moduulia, ja jos havaitaan yritys muokata tietoja lohkolaitetasolla, järjestelmä käynnistetään uudelleen.
Suurin osa järjestelmän komponenteista on kirjoitettu ruosteella, joka tarjoaa muistiturvallisia työkaluja estämään haavoittuvuuksia, jotka aiheutuvat muistialueen osoittamisesta sen vapauttamisen jälkeen, nollaosoittimien poistamisesta ja puskurin ylivuodoista.
Käännöstilaa "–enable-default-pie" ja "–enable-default-ssp" käytetään oletusarvoisesti mahdollistamaan suoritettavan osoiteavaruuden (PIE) satunnaistaminen ja pinon ylivuotosuojaus canary-tunnisteen korvaamisen kautta.
Mitä uutta Bottlerocket 1.7.0:ssa?
Tässä esitetyssä jakelun uudessa versiossa yksi erottuvista muutoksista on se RPM-paketteja asennettaessa luodaan luettelo ohjelmista JSON-muodossa ja liitä se isäntäsäiliöön /var/lib/bottlerocket/inventory/application.json-tiedostona saadaksesi tietoa saatavilla olevista paketeista.
Bottlerocket 1.7.0:ssa on myös "admin"- ja "control"-säilöjen päivittäminen, sekä Go and Rustin pakettiversiot ja riippuvuudet.
Toisaalta kohokohdat päivitetyt versiot paketeista, joissa on kolmannen osapuolen ohjelmia, myös korjannut tmpfilesd-asetusongelmat kmod-5.10-nvidialle ja tuftool-riippuvuusversiot linkitetään asennuksen yhteydessä.
Lopuksi niille, jotka ovat Kiinnostaa tietää lisää aiheesta Tämän jakelun osalta sinun pitäisi tietää, että työkalupakki ja jakelun ohjauskomponentit on kirjoitettu Rust-kielellä ja niitä jaetaan MIT- ja Apache 2.0 -lisensseillä.
Pullon tasku tukee Amazon ECS-, VMware- ja AWS EKS Kubernetes -klusterien käyttöä, sekä luoda mukautettuja koontiversioita ja versioita, jotka mahdollistavat erilaisia orkestraatioita ja ajonaikaisia työkaluja säilöille.
Voit tarkistaa yksityiskohdat, Seuraavassa linkissä.