最近 發布宣布 新版本的 Linux 發行版 “壁虎1.7.0”,在亞馬遜的參與下開發,用於高效、安全地運行隔離容器。
對於那些剛接觸 Bottlerocket 的人來說,您應該知道這是一個提供自動原子更新的不可分割系統映像的發行版,其中包括 Linux 內核和僅包含運行容器所需的組件的最小系統環境。
關於 Bottlerocket
環境 使用 systemd 系統管理器,Glibc 庫、Buildroot 構建工具、GRUB 引導加載程序、容器沙箱運行時、Kubernetes 容器編排平台、aws-iam 身份驗證器和 Amazon ECS 代理。
容器編排工具位於一個單獨的管理容器中,該容器默認啟用並通過 AWS SSM 代理和 API 進行管理。 基礎鏡像缺少命令外殼、SSH 服務器和解釋語言(例如 Python 或 Perl):管理和調試工具被移到單獨的服務容器中,默認情況下禁用。
與類似分佈的主要區別 例如Fedora CoreOS,CentOS / Red Hat Atomic Host 是提供最大安全性的主要重點 在加強保護系統免受可能威脅的背景下,這使利用操作系統組件中的漏洞變得複雜並增加了容器的隔離性。
容器是使用常用的 Linux 內核機制創建的:cgroups、命名空間和 seccomp。 為了額外的隔離,該發行版在“應用程序”模式下使用 SELinux。
根分區以只讀方式掛載 /etc 配置的分區掛載在 tmpfs 中,重啟後恢復到原來的狀態。 不支持直接修改/etc目錄下的文件,如/etc/resolv.conf和/etc/containerd/config.toml; 要永久保存配置,您必須使用 API 或將功能移動到單獨的容器中。
對於根分區完整性的加密驗證,使用了 dm-verity 模塊,如果檢測到在塊設備級別修改數據的嘗試,系統將重新啟動。
大多數係統組件都是用 Rust 編寫的, 它提供了內存安全工具來防止由於在內存區域被釋放後尋址、取消引用空指針和緩衝區溢出而導致的漏洞。
編譯時,默認使用“--enable-default-pie”和“--enable-default-ssp”編譯模式,通過金絲雀標籤替換啟用可執行地址空間(PIE)隨機化和堆棧溢出保護。
Bottlerocket 1.7.0 有什麼新功能?
在所展示的這個新版本的發行版中,突出的變化之一是 安裝 RPM 包時,提供生成 JSON 格式的程序列表 並將其作為 /var/lib/bottlerocket/inventory/application.json 文件掛載到主機容器,以獲取有關可用包的信息。
Bottlerocket 1.7.0 還包含 更新“admin”和“control”容器,以及 Go 和 Rust 的包版本和依賴項。
另一方面,亮點 帶有第三方程序的更新版本的軟件包, 還修復了 kmod-5.10-nvidia 的 tmpfilesd 配置問題,並且在安裝 tuftool 依賴項版本時已鏈接。
最後對於那些 有興趣了解更多關於它的信息 關於這個發行版,你應該知道工具包和發行版控制組件是用 Rust 編寫的,並且在 MIT 和 Apache 2.0 許可下分發。
瓶裝火箭 支持運行 Amazon ECS、VMware 和 AWS EKS Kubernetes 集群, 以及創建自定義構建和版本,為容器啟用不同的編排和運行時工具。
您可以查看詳細信息, 在下面的鏈接中。