nylig lanseringen ble annonsert av den nye versjonen av Linux-distribusjonen "Bottlerocket 1.7.0", utviklet med deltagelse av Amazon, for å kjøre isolerte containere effektivt og sikkert.
For de som er nye til Bottlerocket, bør du vite at dette er en distribusjon som gir et automatisk atomisk oppdatert, udelelig systembilde som inkluderer Linux-kjernen og et minimalt systemmiljø som bare inkluderer komponentene som er nødvendige for å kjøre containere.
Om Bottlerocket
Miljøet bruker systemd system manager, Glibc bibliotek, byggeverktøyet Buildroot, oppstartslasteren GRUB, kjøretiden for containersandkassen, Kubernetes containerorkestreringsplattform, aws-iam-autentiseringen og Amazon ECS-agenten.
Beholderorkestreringsverktøyene kommer i en separat administrasjonsbeholder som er aktivert som standard og administrert gjennom AWS SSM-agenten og API. Grunnbildet mangler et kommandoskall, SSH-server og tolkede språk (for eksempel Python eller Perl): administrasjons- og feilsøkingsverktøy flyttes til en egen tjenestebeholder, som er deaktivert som standard.
Den viktigste forskjellen fra lignende distribusjoner som Fedora CoreOS, CentOS / Red Hat Atomic Host er hovedfokus på å gi maksimal sikkerhet i sammenheng med å styrke beskyttelsen av systemet mot mulige trusler, noe som kompliserer utnyttelsen av sårbarheter i komponentene i operativsystemet og øker isolasjonen av beholderen.
Beholdere lages ved å bruke de vanlige Linux-kjernemekanismene: cgroups, namespaces og seccomp. For ytterligere isolasjon bruker distribusjonen SELinux i "applikasjonsmodus".
Rotpartisjonen er montert skrivebeskyttet og partisjonen med /etc-konfigurasjonen er montert i tmpfs og gjenopprettet til sin opprinnelige tilstand etter omstart. Direkte modifikasjon av filer i /etc-katalogen, slik som /etc/resolv.conf og /etc/containerd/config.toml, støttes ikke; for å lagre konfigurasjonen permanent, må du enten bruke API eller flytte funksjonaliteten til separate beholdere.
For kryptografisk verifisering av integriteten til rotpartisjonen brukes dm-verity-modulen, og hvis det oppdages et forsøk på å endre data på blokkenhetsnivå, startes systemet på nytt.
De fleste av systemkomponentene er skrevet i Rust, som gir minnesikre verktøy for å forhindre sårbarheter forårsaket av adressering av et minneområde etter at det har blitt frigjort, dereferanse null-pekere og bufferoverløp.
Ved kompilering brukes kompileringsmodusene "–enable-default-pie" og "–enable-default-ssp" som standard for å aktivere kjørbart adresserom (PIE) randomisering og stabeloverløpsbeskyttelse via canary tag-erstatning.
Hva er nytt i Bottlerocket 1.7.0?
I denne nye versjonen av distribusjonen som presenteres, er en av endringene som skiller seg ut at når du installerer RPM-pakker, er det gitt for å generere en liste over programmer i JSON-format og monter den til vertsbeholderen som filen /var/lib/bottlerocket/inventory/application.json for å få informasjon om tilgjengelige pakker.
Også omtalt i Bottlerocket 1.7.0 er oppdatering av "admin" og "kontroll"-beholdere, samt pakkeversjoner og avhengigheter for Go og Rust.
På den annen side, høydepunkter oppdaterte versjoner av pakker med tredjepartsprogrammer, også fikset tmpfilesd-konfigurasjonsproblemer for kmod-5.10-nvidia og når du installerer tuftool er avhengighetsversjoner koblet.
Endelig for de som er det Interessert i å lære mer om det om denne distribusjonen, bør du vite at verktøysettet og distribusjonskontrollkomponentene er skrevet i Rust og distribueres under MIT- og Apache 2.0-lisensene.
Flaskehylse støtter kjøring av Amazon ECS, VMware og AWS EKS Kubernetes-klynger, samt å lage tilpassede bygg og utgaver som muliggjør forskjellige orkestreringer og kjøretidsverktøy for containere.
Du kan sjekke detaljene, I den følgende lenken.