S'ha donat a conèixer el llançament de la nova versió de la distribució de Linux Bottlerocket 1.3.0 en la qual s'han realitzat alguns canvis i millores al sistema dels quals es destaquen les restriccions afegides de MCS a la política de SELinux, així com també la solució a diversos problemes de política de SELinux, el suport IPv6 en kubelet i plut i també el suport d'arrencada híbrida per a x86_64.
Per als qui desconeixen de Bottlerocket, han de saber que aquesta és una distribució de Linux que és desenvolupada amb la participació dAmazon per executar contenidors aïllats de manera eficient i segura. Aquesta nova versió es caracteritza per ser més gran una versió d'actualització de paquets, tot i que també arriba amb canvis nous.
la distribució es caracteritza per proporciona una imatge de sistema indivisible actualitzada de manera automàtica i atòmica que inclou el nucli de Linux i un entorn de sistema mínim que inclou només els components necessaris per executar contenidors.
sobre Bottlerocket
L'entorn fa ús de l'gestor de sistema systemd, la biblioteca Glibc, buildroot, el carregador d'arrencada GRUB, el configurador de xarxa wicked, el temps d'execució contenidor per a l'aïllament de contenidors, la plataforma Kubernetes, AWS-iam-autenticador, i l'agent d'Amazon ECS.
Les eines d'orquestració de contenidors s'envien en un contenidor d'administració separat que està habilitat per defecte i administrat a través de l'API i l'agent de AWS SSM. La imatge base manca d'un shell de comandaments, un servidor SSH i llenguatges interpretats (Per exemple, sense Python o Perl): les eines per a l'administrador i les eines de depuració es mouen a un contenidor de serveis separat, que està deshabilitat per omissió.
la diferència Hendió pel que fa a distribucions similars com Fedora coreos, CentOS / Red Hat Atomic Host és l'enfocament principal a proporcionar la màxima seguretat en el context d'enfortir el sistema contra possibles amenaces, el que dificulta l'explotació de vulnerabilitats en els components de sistema operatiu i augmenta l'aïllament de contenidors.
Principals novetats de Bottlerocket 1.3.0
En aquesta nova versió de la distribució es destaca la correcció de les vulnerabilitats al kit d'eines de la finestra acoblable i el contenidor del runtime (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relacionades amb la configuració incorrecta de permisos, cosa que permetia als usuaris sense privilegis abandonar el directori base i executar programes externs.
Per la part dels canvis que s'han implementat podrem trobar que s'ha afegit compatibilitat amb IPv6 a kubelet i plut, a més que es va proporcionar la capacitat de reiniciar el contenidor després de canviar la seva configuració i es va afegir suport per a instàncies Amazon EC2 M6i a eni-max-pods.
També es destaquen les noves restriccions de MCS a la política de SELinux, així com també la solució de diversos problemes de política de SELinux, a més que per a la plataforma x86_64, s'implementa el mode d'arrencada híbrida (amb compatibilitat amb EFI i BIOS) i en Open-vm-tools afegeix suport per a filtres de dispositius basats · al kit d'eines de Cilium.
D'altra banda, es va eliminar la compatibilitat amb la versió de la distribució aws-k8s-1.17 basada en Kubernetes 1.17, amb la qual cosa es recomana utilitzar la variant aws-k8s-1.21 amb compatibilitat amb Kubernetes 1.21, a més que les variants de k8s utilitzen les configuracions cgroup runtime.slice i system.slice.
Dels altres canvis que es destaquen d'aquesta nova versió:
- S'ha afegit l'indicador de regió a l'ordre aws-iam-authenticator
- Reiniciar contenidors de host modificats
- El contenidor de control per defecte es va actualitzar a v0.5.2
- S'actualitzà eni-max-pods amb nous tipus d'instàncies
- S'hi van afegir nous filtres de dispositiu de cilium a open-vm-tools
- Incloure /var/log/kdumpen logdog tarballs
- Actualitzar paquets de tercers
- S'ha afegit una definició d'ona per a una implementació lenta
- S'ha afegit 'infrasys' per crear TUF infra a AWS
- Arxivar migracions antigues
- Canvis en la documentació
Finalment si estàs interessat en conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.