nedavno najavljeno je lansiranje nove verzije distribucije Linuxa "Boca 1.7.0", razvijen uz sudjelovanje Amazona, za učinkovito i sigurno pokretanje izoliranih kontejnera.
Za one koji su novi u Bottlerocketu, trebali biste znati da je ovo distribucija koja osigurava automatski atomski ažurnu nedjeljivu sliku sustava koja uključuje jezgru Linuxa i minimalno okruženje sustava koje uključuje samo komponente potrebne za pokretanje spremnika.
O Bottlerocket -u
Okoliš koristi systemd upravitelja sustava, Glibc biblioteku, Buildroot alat za izgradnju, GRUB pokretač pokretanja, vrijeme izvođenja spremnika sandbox, platformu za orkestraciju Kubernetes spremnika, aws-iam autentifikator i Amazon ECS agent.
Alati za orkestraciju spremnika dolaze u zasebnom spremniku za upravljanje koji je omogućen prema zadanim postavkama i kojim se upravlja putem AWS SSM agenta i API-ja. Osnovnoj slici nedostaje naredbena ljuska, SSH poslužitelj i interpretirani jezici (na primjer, Python ili Perl): alati za administraciju i otklanjanje pogrešaka premještaju se u zaseban servisni spremnik, koji je prema zadanim postavkama onemogućen.
Ključna razlika od sličnih distribucija kao što su Fedora CoreOS, CentOS / Red Hat Atomic Host je glavni fokus na pružanju maksimalne sigurnosti u kontekstu jačanja zaštite sustava od mogućih prijetnji, što komplicira iskorištavanje ranjivosti u komponentama operativnog sustava i povećava izolaciju kontejnera.
Spremnici se stvaraju korištenjem uobičajenih mehanizama jezgre Linuxa: cgroups, namespaces i seccomp. Za dodatnu izolaciju, distribucija koristi SELinux u načinu "aplikacija".
Korijenska particija se montira samo za čitanje a particija s /etc konfiguracijom se montira u tmpfs i vraća u prvobitno stanje nakon ponovnog pokretanja. Izravna modifikacija datoteka u direktoriju /etc, kao što su /etc/resolv.conf i /etc/containerd/config.toml, nije podržana; da biste trajno spremili konfiguraciju, morate koristiti API ili premjestiti funkcionalnost u zasebne spremnike.
Za kriptografsku provjeru integriteta root particije koristi se modul dm-verity, a ako se otkrije pokušaj izmjene podataka na razini blok uređaja, sustav se ponovno pokreće.
Većina komponenti sustava napisana je u Rustu, koji pruža memorijske sigurne alate za sprječavanje ranjivosti uzrokovanih adresiranjem memorijskog područja nakon što je oslobođeno, dereferenciranje nulte pokazivača i preljeva međuspremnika.
Prilikom kompajliranja, "–enable-default-pie" i "–enable-default-ssp" načini prevođenja koriste se prema zadanim postavkama kako bi se omogućila randomizacija izvršnog adresnog prostora (PIE) i zaštita od prelijevanja stogova putem zamjene kanarskih oznaka.
Što je novo u Bottlerocketu 1.7.0?
U ovoj novoj verziji distribucije koja je predstavljena, jedna od promjena koja se ističe je ta prilikom instaliranja RPM paketa, predviđeno je generiranje popisa programa u JSON formatu i montirajte ga na host spremnik kao datoteku /var/lib/bottlerocket/inventory/application.json da biste dobili informacije o dostupnim paketima.
Također predstavljen u Bottlerocket 1.7.0 je ažuriranje "admin" i "control" kontejnera, kao i verzije paketa i ovisnosti za Go i Rust.
S druge strane, ističe ažurirane verzije paketa s programima trećih strana, također su popravljeni problemi s konfiguracijom tmpfilesd-a za kmod-5.10-nvidia i kada se instaliraju verzije ovisnosti o tuftoolu su povezane.
Konačno za one koji jesu Zanima me saznati više o tome o ovoj distribuciji, trebali biste znati da su alati i komponente kontrole distribucije napisane u Rustu i da se distribuiraju pod licencama MIT i Apache 2.0.
Flaša za flaše podržava pokretanje Amazon ECS, VMware i AWS EKS Kubernetes klastera, kao i stvaranje prilagođenih build-ova i izdanja koja omogućuju različite orkestracije i alate za vrijeme izvođenja za spremnike.
Možete provjeriti detalje, U sljedećem linku.