recentemente il lancio è stato annunciato della nuova versione della distribuzione Linux "Bottlerocket 1.7.0", sviluppato con la partecipazione di Amazon, per gestire container isolati in modo efficiente e sicuro.
Per chi non conosce Bottlerocket, dovresti sapere che questa è una distribuzione che fornisce un'immagine di sistema indivisibile automaticamente aggiornata atomicamente che include il kernel Linux e un ambiente di sistema minimo che include solo i componenti necessari per eseguire i container.
A proposito di Bottlerocket
L'ambiente utilizza il gestore di sistema systemd, la libreria Glibc, lo strumento di compilazione Buildroot, il caricatore di avvio GRUB, il runtime sandbox del container, la piattaforma di orchestrazione del container Kubernetes, l'autenticatore aws-iam e l'agente Amazon ECS.
Gli strumenti di orchestrazione dei container sono disponibili in un container di gestione separato abilitato per impostazione predefinita e gestito tramite l'agente e l'API AWS SSM. L'immagine di base è priva di shell dei comandi, server SSH e linguaggi interpretati (ad esempio Python o Perl): gli strumenti di amministrazione e debug vengono spostati in un contenitore di servizi separato, che è disabilitato per impostazione predefinita.
La differenza chiave da distribuzioni simili come Fedora CoreOS, CentOS / Red Hat Atomic Host è l'obiettivo principale di fornire la massima sicurezza nell'ambito del rafforzamento della protezione del sistema contro possibili minacce, che complica lo sfruttamento delle vulnerabilità nei componenti del sistema operativo e aumenta l'isolamento del contenitore.
I container vengono creati utilizzando i consueti meccanismi del kernel Linux: cgroups, namespaces e seccomp. Per ulteriore isolamento, la distribuzione utilizza SELinux in modalità "applicazione".
La partizione di root è montata in sola lettura e la partizione con la configurazione /etc viene montata in tmpfs e ripristinata al suo stato originale dopo il riavvio. La modifica diretta dei file nella directory /etc, come /etc/resolv.conf e /etc/containerd/config.toml, non è supportata; per salvare la configurazione in modo permanente, è necessario utilizzare l'API o spostare la funzionalità in contenitori separati.
Per la verifica crittografica dell'integrità della partizione di root, viene utilizzato il modulo dm-verity e se viene rilevato un tentativo di modificare i dati a livello di dispositivo a blocchi, il sistema viene riavviato.
La maggior parte dei componenti del sistema sono scritti in Rust, che fornisce strumenti sicuri per la memoria per prevenire le vulnerabilità causate dall'indirizzamento di un'area di memoria dopo che è stata liberata, dereferenziando i puntatori null e gli overflow del buffer.
Durante la compilazione, le modalità di compilazione "–enable-default-pie" e "–enable-default-ssp" vengono utilizzate per impostazione predefinita per abilitare la randomizzazione dello spazio degli indirizzi eseguibili (PIE) e la protezione dall'overflow dello stack tramite la sostituzione del tag canary.
Cosa c'è di nuovo in Bottlerocket 1.7.0?
In questa nuova versione della distribuzione che viene presentata, uno dei cambiamenti che spicca è quello quando si installano pacchetti RPM, viene fornito per generare un elenco di programmi in formato JSON e montalo nel contenitore host come file /var/lib/bottlerocket/inventory/application.json per ottenere informazioni sui pacchetti disponibili.
Presente anche in Bottlerocket 1.7.0 è il aggiornamento dei contenitori “admin” e “control”., nonché le versioni dei pacchetti e le dipendenze per Go e Rust.
D'altra parte, mette in evidenza versioni aggiornate di pacchetti con programmi di terze parti, risolti anche i problemi di configurazione di tmpfilesd per kmod-5.10-nvidia e durante l'installazione delle versioni delle dipendenze di tuftool sono collegate.
Finalmente per chi lo è Interessato a saperne di più riguardo a questa distribuzione, dovresti sapere che i componenti del toolkit e del controllo della distribuzione sono scritti in Rust e sono distribuiti sotto le licenze MIT e Apache 2.0.
Razzo di bottiglia supporta l'esecuzione di cluster Amazon ECS, VMware e AWS EKS Kubernetes, oltre a creare build ed edizioni personalizzate che abilitano diverse orchestrazioni e strumenti di runtime per i container.
Puoi controllare i dettagli, nel seguente link