recent lansarea a fost anunțată a noii versiuni a distribuției Linux „Bottlerocket 1.7.0”, dezvoltat cu participarea Amazon, pentru a rula containere izolate eficient și sigur.
Pentru cei nou la Bottlerocket, ar trebui să știți că aceasta este o distribuție care oferă o imagine de sistem indivizibilă, actualizată automat atomic, care include nucleul Linux și un mediu de sistem minim care include doar componentele necesare rulării containerelor.
Despre Bottlerocket
Mediul folosește managerul de sistem systemd, biblioteca Glibc, instrumentul de compilare Buildroot, încărcătorul de pornire GRUB, timpul de execuție al containerului sandbox, platforma de orchestrare a containerelor Kubernetes, autentificatorul aws-iam și agentul Amazon ECS.
Instrumentele de orchestrare a containerelor vin într-un container de gestionare separat, care este activat implicit și gestionat prin agentul și API-ul AWS SSM. Imaginea de bază nu are un shell de comandă, un server SSH și limbi interpretate (de exemplu, Python sau Perl): instrumentele de administrare și depanare sunt mutate într-un container de servicii separat, care este dezactivat implicit.
Diferența cheie față de distribuțiile similare precum Fedora CoreOS, CentOS / Red Hat Atomic Host este principalul accent pe asigurarea securității maxime în contextul întăririi protecției sistemului împotriva posibilelor amenințări, ceea ce complică exploatarea vulnerabilităților din componentele sistemului de operare și crește izolarea containerului.
Containerele sunt create folosind mecanismele obișnuite ale nucleului Linux: cgroups, namespaces și seccomp. Pentru o izolare suplimentară, distribuția folosește SELinux în modul „aplicație”.
Partiția rădăcină este montată numai în citire iar partiția cu configurația /etc este montată în tmpfs și restaurată la starea inițială după repornire. Modificarea directă a fișierelor din directorul /etc, cum ar fi /etc/resolv.conf și /etc/containerd/config.toml, nu este acceptată; pentru a salva permanent configurația, trebuie fie să utilizați API-ul, fie să mutați funcționalitatea în containere separate.
Pentru verificarea criptografică a integrității partiției rădăcină, se folosește modulul dm-verity, iar dacă este detectată o încercare de modificare a datelor la nivel de dispozitiv bloc, sistemul este repornit.
Majoritatea componentelor sistemului sunt scrise în Rust, care oferă instrumente sigure pentru memorie pentru a preveni vulnerabilitățile cauzate de adresarea unei zone de memorie după ce aceasta a fost eliberată, dereferențiați pointerii nuli și depășirile de buffer.
La compilare, modurile de compilare „–enable-default-pie” și „–enable-default-ssp” sunt utilizate în mod implicit pentru a activa aleatorizarea spațiului de adrese executabil (PIE) și protecția la supraîncărcare a stivei prin înlocuirea etichetelor Canary.
Ce este nou în Bottlerocket 1.7.0?
În această nouă versiune a distribuției care este prezentată, una dintre modificările care iese în evidență este aceea la instalarea pachetelor RPM, este prevăzut pentru a genera o listă de programe în format JSON și montați-l pe containerul gazdă ca fișier /var/lib/bottlerocket/inventory/application.json pentru a obține informații despre pachetele disponibile.
De asemenea, prezentat în Bottlerocket 1.7.0 este actualizarea containerelor „admin” și „control”., precum și versiuni de pachet și dependențe pentru Go și Rust.
Pe de altă parte, evidențiază versiuni actualizate de pachete cu programe terțe, de asemenea, s-au rezolvat problemele de configurare tmpfilesd pentru kmod-5.10-nvidia și la instalarea dependenței de tuftool, versiunile sunt legate.
În sfârșit pentru cei care sunt Interesat să afle mai multe despre el despre această distribuție, trebuie să știți că setul de instrumente și componentele de control al distribuției sunt scrise în Rust și sunt distribuite sub licențe MIT și Apache 2.0.
Buzunar acceptă rularea clusterelor Amazon ECS, VMware și AWS EKS Kubernetes, precum și crearea de versiuni și ediții personalizate care permit diferite orchestrații și instrumente de rulare pentru containere.
Puteți verifica detaliile, În următorul link.