Récemment le lancement a été annoncé de la nouvelle version de la distribution Linux "Bottlerocket 1.7.0", développé avec la participation d'Amazon, pour gérer efficacement et en toute sécurité des conteneurs isolés.
Pour ceux qui découvrent Bottlerocket, sachez qu'il s'agit d'une distribution qui fournit une image système indivisible automatiquement mise à jour atomiquement qui inclut le noyau Linux et un environnement système minimal qui inclut uniquement les composants nécessaires pour exécuter des conteneurs.
À propos de Bottlerocket
L'environnement utilise le gestionnaire de système systemd, la bibliothèque Glibc, l'outil de génération Buildroot, le chargeur de démarrage GRUB, l'environnement d'exécution du bac à sable du conteneur, la plate-forme d'orchestration de conteneur Kubernetes, l'authentificateur aws-iam et l'agent Amazon ECS.
Les outils d'orchestration de conteneurs sont fournis dans un conteneur de gestion distinct qui est activé par défaut et géré via l'agent et l'API AWS SSM. L'image de base manque d'un shell de commande, d'un serveur SSH et de langages interprétés (par exemple, Python ou Perl) : les outils d'administration et de débogage sont déplacés vers un conteneur de services séparé, qui est désactivé par défaut.
La principale différence avec des distributions similaires tels que Fedora CoreOS, CentOS / Red Hat Atomic Host est l'objectif principal de fournir une sécurité maximale dans le cadre du renforcement de la protection du système contre d'éventuelles menaces, ce qui complique l'exploitation des vulnérabilités des composants du système d'exploitation et augmente l'isolement du conteneur.
Les conteneurs sont créés à l'aide des mécanismes habituels du noyau Linux : cgroups, espaces de noms et seccomp. Pour une isolation supplémentaire, la distribution utilise SELinux en mode "application".
La partition racine est montée en lecture seule et la partition avec la configuration /etc est montée dans tmpfs et restaurée à son état d'origine après le redémarrage. La modification directe des fichiers dans le répertoire /etc, tels que /etc/resolv.conf et /etc/containerd/config.toml, n'est pas prise en charge ; pour enregistrer la configuration de manière permanente, vous devez soit utiliser l'API, soit déplacer la fonctionnalité vers des conteneurs distincts.
Pour la vérification cryptographique de l'intégrité de la partition racine, le module dm-verity est utilisé, et si une tentative de modification des données au niveau du périphérique bloc est détectée, le système est redémarré.
La plupart des composants du système sont écrits en Rust, qui fournit des outils sécurisés en mémoire pour empêcher les vulnérabilités causées par l'adressage d'une zone mémoire après sa libération, le déréférencement des pointeurs nuls et les débordements de mémoire tampon.
Lors de la compilation, les modes de compilation "–enable-default-pie" et "–enable-default-ssp" sont utilisés par défaut pour activer la randomisation de l'espace d'adressage exécutable ( PIE ) et la protection contre le débordement de pile via la substitution de balise canary.
Quoi de neuf dans Bottlerocket 1.7.0 ?
Dans cette nouvelle version de la distribution qui est présentée, l'un des changements qui ressort est que lors de l'installation des packages RPM, il est prévu de générer une liste de programmes au format JSON et montez-le sur le conteneur hôte en tant que fichier /var/lib/bottlerocket/inventory/application.json pour obtenir des informations sur les packages disponibles.
Également présenté dans Bottlerocket 1.7.0 est le mise à jour des conteneurs « admin » et « control », ainsi que les versions de package et les dépendances pour Go et Rust.
D'autre part, les faits saillants versions mises à jour de packages avec des programmes tiers, a également corrigé les problèmes de configuration de tmpfilesd pour kmod-5.10-nvidia et lors de l'installation des versions de dépendance de tuftool sont liées.
Enfin pour ceux qui sont Intéressé à en savoir plus à propos de cette distribution, vous devez savoir que les composants de la boîte à outils et du contrôle de la distribution sont écrits en Rust et sont distribués sous les licences MIT et Apache 2.0.
Fusée en bouteille prend en charge l'exécution des clusters Amazon ECS, VMware et AWS EKS Kubernetes, ainsi que la création de versions et d'éditions personnalisées qui permettent différentes orchestrations et outils d'exécution pour les conteneurs.
Vous pouvez vérifier les détails, dans le lien suivant.