Dhawaan daahfurka ayaa lagu dhawaaqay ee nooca cusub ee qaybinta Linux "Bottlerocket 1.7.0", oo la sameeyay iyada oo ay ka qaybqaadanayso Amazon, si ay u socodsiiso weelasha cidlada ah si hufan oo ammaan ah.
Kuwa ku cusub Bottlerocket, waa in aad ogaataa in tani ay tahay qaybin si toos ah u bixinaysa muuqaal habaysan oo casri ah oo aan la qaybsan karin kaas oo ay ku jiraan kernel-ka Linux iyo nidaamka ugu yar oo ay ku jiraan kaliya qaybaha loo baahan yahay in lagu socodsiiyo weelasha.
Ku saabsan Bottlerocket
Deegaanka adeegsada maamulaha nidaamka habaysan, maktabadda Glibc, Qalabka dhismaha ee Buildroot, bootloader GRUB, sanduuqa sandbox runtime, Kubernetes konteenarka masraxa, aws-iam authenticator, iyo wakiilka Amazon ECS.
Aaladaha habaynta weelka waxay ku yimaadaan weel maamul oo gooni ah kaas oo si toos ah u kartiyeeyay oo lagu maareeyo wakiilka AWS SSM iyo API. Sawirka salku wuxuu ka maqan yahay qolof amar, SSH server, iyo luqadaha la tarjumo (tusaale, Python ama Perl): maamulka iyo qalabka wax-ka-hortagga waxaa loo wareejiyaa weel adeeg oo gaar ah, kaas oo naafo ah.
Farqiga ugu muhiimsan ee qaybinta la midka ah sida Fedora CoreOS, CentOS / Red Hat Atomic Host waa diiradda ugu weyn ee bixinta amniga ugu badan marka la eego xoojinta ilaalinta nidaamka ka hortagga khataraha suurtagalka ah, taas oo adkeynaysa ka faa'iidaysiga dayacanka ee qaybaha nidaamka hawlgalka iyo kordhinta go'doominta weelka.
Weelasha waxaa la abuuraa iyadoo la adeegsanayo hababka kernel-ka Linux ee caadiga ah: koox-kooxeedyo, goobo magacyo, iyo seccomp. Go'doomin dheeri ah, qaybintu waxay isticmaashaa SELinux qaabka "codsiga".
Qaybta xididka waxa lagu rakibay akhris-kaliya iyo xijaabka leh qaabeynta / iwm waxaa lagu dhejiyay tmpfs waxaana lagu soo celiyay sidii ay ahayd markii dib loo bilaabo. Wax ka beddelka tooska ah ee faylasha ku jira tusaha /etc, sida /etc/resolv.conf iyo /etc/containerd/config.toml, lama taageero; si aad u kaydiso qaabaynta si joogto ah, waa inaad isticmaashaa API-ga ama aad dhaqaajiso shaqada si aad u kala saarto weelasha.
Xaqiijinta qarsoodiga ah ee daacadnimada qaybta xididka, moduleka dm-verity ayaa la isticmaalaa, iyo haddii isku dayga lagu beddelayo xogta heerka qalabka xannibaadda la ogaado, nidaamka ayaa dib loo bilaabay.
Inta badan qaybaha nidaamka waxa lagu qoray Rust, Kaas oo bixisa qalab xusuusta-ammaan ah si looga hortago dayacanka ay keento wax ka qabashada aagga xusuusta ka dib markii la xoreeyay, tilmaameyaal aan waxba lahayn oo ka leexan ah, iyo bakhaarro buux dhaafiyay.
Marka la ururinayo, "--enable-default-pie" iyo "--enable-default-ssp" hababka ururinta ayaa si caadi ah loo adeegsadaa si ay awood ugu yeeshaan meel ciwaanka la fulin karo (PIE) randomization iyo xidhid ilaalinta qulqulka qulqulka iyada oo loo marayo beddelka summada canary.
Maxaa ka cusub Dhalada 1.7.0?
Qaybtan cusub ee qaybinta ee la soo bandhigay, waxaa ka mid ah isbeddellada muuqda marka la rakibayo xirmooyinka RPM, waxaa la bixiyaa si loo soo saaro liiska barnaamijyada qaabka JSON oo ku dheji weelka martida loo yahay sida faylka /var/lib/bottlerocket/inventory/application.json si aad u hesho macluumaadka ku saabsan xirmooyinka la heli karo.
Sidoo kale lagu soo bandhigay dhalo 1.7.0 waa cusboonaysiinta weelasha "admin" iyo "control", iyo sidoo kale noocyada xirmada iyo ku tiirsanaanta Go iyo Rust
Dhanka kale, iftiiminta noocyada baakadaha la cusboonaysiiyay ee leh barnaamijyada qolo saddexaad, sidoo kale arrimaha qaabeynta tmpfilesd go'an ee kmod-5.10-nvidia iyo marka la rakibayo noocyada ku-tiirsanaanta tuftool ayaa ku xiran.
Ugu dambayn kuwa Waxaan xiisaynayaa inaad wax badan ka ogaato ku saabsan qaybintan, waa inaad ogaataa in qalabka iyo qaybaha xakamaynta qaybinta ay ku qoran yihiin Rust waxaana lagu qaybiyaa shatiga MIT iyo Apache 2.0.
Dhalo gantaal Waxay taageertaa socodsiinta Amazon ECS, VMware, iyo AWS EKS Kubernetes kutlooyinka, iyo sidoo kale abuurista dhismo gaar ah iyo daabacaadyo kuwaas oo awood u siinaya orchestrations kala duwan iyo qalabka runtime ee weelasha.
Waxaad hubin kartaa faahfaahinta, Xiriirka soo socda.