onlangs de lancering werd aangekondigd van de nieuwe versie van de Linux-distributie "Bottlerocket 1.7.0", ontwikkeld met de deelname van Amazon, om geïsoleerde containers efficiënt en veilig te laten werken.
Voor degenen die nieuw zijn bij Bottlerocket, je moet weten dat dit een distributie is die een automatisch atomair up-to-date ondeelbare systeemimage biedt die de Linux-kernel bevat en een minimale systeemomgeving die alleen de componenten bevat die nodig zijn om containers te draaien.
Over Bottlerocket
De omgeving gebruikt systemd systeembeheerder, Glibc bibliotheek, de Buildroot-buildtool, de GRUB-bootloader, de container-sandbox-runtime, het Kubernetes-containerorkestratieplatform, de aws-iam-authenticator en de Amazon ECS-agent.
De containerorkestratietools worden geleverd in een afzonderlijke beheercontainer die standaard is ingeschakeld en wordt beheerd via de AWS SSM-agent en API. De basisafbeelding mist een opdrachtshell, SSH-server en geïnterpreteerde talen (bijvoorbeeld Python of Perl): beheer- en debuggingtools worden verplaatst naar een aparte servicecontainer, die standaard is uitgeschakeld.
Het belangrijkste verschil met vergelijkbare distributies: zoals Fedora CoreOS, CentOS / Red Hat Atomic Host is de belangrijkste focus op het bieden van maximale veiligheid in het kader van het versterken van de bescherming van het systeem tegen mogelijke bedreigingen, wat de exploitatie van kwetsbaarheden in de componenten van het besturingssysteem bemoeilijkt en de isolatie van de container vergroot.
Containers worden gemaakt met behulp van de gebruikelijke Linux-kernelmechanismen: cgroups, namespaces en seccomp. Voor extra isolatie gebruikt de distributie SELinux in "toepassings"-modus.
De rootpartitie is alleen-lezen gemount en de partitie met de /etc configuratie wordt gemount in tmpfs en hersteld naar zijn originele staat na opnieuw opstarten. Directe wijziging van bestanden in de map /etc, zoals /etc/resolv.conf en /etc/containerd/config.toml, wordt niet ondersteund; om de configuratie permanent op te slaan, moet u de API gebruiken of de functionaliteit naar afzonderlijke containers verplaatsen.
Voor cryptografische verificatie van de integriteit van de rootpartitie wordt de dm-verity-module gebruikt en als een poging om gegevens op blokapparaatniveau te wijzigen wordt gedetecteerd, wordt het systeem opnieuw opgestart.
De meeste systeemcomponenten zijn geschreven in Rust, die geheugenveilige tools biedt om kwetsbaarheden te voorkomen die worden veroorzaakt door het adresseren van een geheugengebied nadat het is vrijgemaakt, dereferentie van null-pointers en bufferoverlopen.
Bij het compileren worden standaard de compileermodi "–enable-default-pie" en "–enable-default-ssp" gebruikt om willekeurig uitvoerbare adresruimte ( PIE ) en stack-overloopbeveiliging via canary-tagvervanging in te schakelen.
Wat is er nieuw in Bottlerocket 1.7.0?
In deze nieuwe versie van de distributie die wordt gepresenteerd, is een van de veranderingen die opvalt dat: bij het installeren van RPM-pakketten is het bedoeld om een lijst met programma's in JSON-indeling te genereren en koppel het aan de hostcontainer als het bestand /var/lib/bottlerocket/inventory/application.json om informatie te krijgen over beschikbare pakketten.
Ook te zien in Bottlerocket 1.7.0 is de updaten van de "admin" en "control" containers, evenals pakketversies en afhankelijkheden voor Go en Rust.
Aan de andere kant, hoogtepunten bijgewerkte versies van pakketten met programma's van derden, ook opgeloste tmpfilesd-configuratieproblemen voor kmod-5.10-nvidia en bij het installeren van tuftool zijn afhankelijkheidsversies gekoppeld.
Eindelijk voor degenen die dat wel zijn Geïnteresseerd om er meer over te leren over deze distributie, moet u weten dat de toolkit en distributiebeheercomponenten zijn geschreven in Rust en worden gedistribueerd onder de MIT- en Apache 2.0-licenties.
Flessenraket ondersteunt het draaien van Amazon ECS-, VMware- en AWS EKS Kubernetes-clusters, evenals het maken van aangepaste builds en edities die verschillende orkestraties en runtime-tools voor containers mogelijk maken.
U kunt de details controleren, In de volgende link.