nemrég bejelentették az indulást a Linux disztribúció új verziójáról "Bottlerocket 1.7.0", amelyet az Amazon részvételével fejlesztettek ki, az elszigetelt konténerek hatékony és biztonságos üzemeltetésére.
A Bottlerocket újoncainak tudniuk kell, hogy ez egy olyan disztribúció, amely automatikusan atomszerűen naprakész, oszthatatlan rendszerképet biztosít, amely tartalmazza a Linux kernelt és egy minimális rendszerkörnyezetet, amely csak a konténerek futtatásához szükséges összetevőket tartalmazza.
A Bottlerocketről
A környezet systemd rendszerkezelőt, Glibc könyvtárat használ, a Buildroot összeállítási eszköz, a GRUB rendszerbetöltő, a konténer sandbox futtatókörnyezete, a Kubernetes konténer hangszerelési platform, az aws-iam hitelesítő és az Amazon ECS ügynök.
A tároló-rendezési eszközök egy külön felügyeleti tárolóban érkeznek, amely alapértelmezés szerint engedélyezve van, és az AWS SSM-ügynökön és API-n keresztül kezelhető. Az alapképből hiányzik a parancshéj, az SSH-kiszolgáló és az értelmezett nyelvek (például Python vagy Perl): az adminisztrációs és hibakereső eszközök egy külön szolgáltatástárolóba kerülnek, amely alapértelmezés szerint le van tiltva.
A legfontosabb különbség a hasonló disztribúciókhoz képest mint például a Fedora CoreOS, a CentOS / Red Hat Atomic Host a fő hangsúly a maximális biztonság biztosításán van a rendszer esetleges fenyegetésekkel szembeni védelmének megerősítése keretében, ami megnehezíti az operációs rendszer összetevőiben lévő sérülékenységek kihasználását és növeli a tároló elszigeteltségét.
A tárolók a szokásos Linux kernel-mechanizmusok segítségével jönnek létre: cgroups, namespaces és seccomp. A további elkülönítés érdekében a disztribúció a SELinuxot használja "alkalmazás" módban.
A gyökérpartíció csak olvasható és az /etc konfigurációjú partíció felcsatolódik a tmpfs-be, és újraindítás után visszaáll az eredeti állapotába. Az /etc könyvtárban lévő fájlok, például az /etc/resolv.conf és az /etc/containerd/config.toml közvetlen módosítása nem támogatott; a konfiguráció végleges mentéséhez vagy az API-t kell használnia, vagy a funkcionalitást külön tárolókba kell áthelyeznie.
A gyökérpartíció integritásának kriptográfiai ellenőrzésére a dm-verity modult használják, és ha blokkeszköz szintű adatmódosítási kísérletet észlel, a rendszer újraindul.
A rendszerelemek többsége Rust nyelven íródott, amely memóriabiztos eszközöket biztosít a sérülékenységek megelőzésére, amelyeket egy memóriaterület felszabadítása utáni címzése, a nullmutatók hivatkozásának megszüntetése és a puffertúlcsordulás okoz.
Fordításkor az „–enable-default-pie” és az „–enable-default-ssp” fordítási módok alapértelmezés szerint lehetővé teszik a végrehajtható címtartomány (PIE) véletlenszerűsítését és a veremtúlcsordulás elleni védelmet a canary tag helyettesítésével.
Mi újdonság a Bottlerocket 1.7.0-ban?
A disztribúció bemutatott új verziójában az egyik szembetűnő változás az RPM-csomagok telepítésekor a program JSON formátumban hozza létre a programok listáját és csatolja a gazdagép tárolóhoz /var/lib/bottlerocket/inventory/application.json fájlként, hogy információkat kapjon az elérhető csomagokról.
A Bottlerocket 1.7.0-ban is szerepel a az „admin” és „control” konténerek frissítése, valamint a Go and Rust csomagverziói és függőségei.
Másrészt kiemeli a csomagok frissített verziói harmadik féltől származó programokkal, kijavította a tmpfilesd konfigurációs problémáit a kmod-5.10-nvidia esetében, és a tuftool függőségi verziói a telepítésekor kapcsolódnak.
Végre azoknak, akik igen Érdekelne többet megtudni róla Ezzel a disztribúcióval kapcsolatban tudnia kell, hogy az eszközkészlet és a disztribúcióvezérlő összetevők Rust nyelven készültek, és az MIT és az Apache 2.0 licenc alatt kerülnek terjesztésre.
Palackzseb támogatja az Amazon ECS, VMware és AWS EKS Kubernetes fürtök futtatását, valamint egyéni buildek és kiadások létrehozása, amelyek lehetővé teszik a konténerek különböző hangszerelését és futásidejű eszközeit.
Ellenőrizheti a részleteket, A következő linken.