Se ha dado a conocer el lanzamiento de la nueva versión de la distribución de Linux «Bottlerocket 1.3.0» en la cual se han realizado algunos cambios y mejoras al sistema de los cuales se destacan las restricciones añadidas de MCS a la política de SELinux, asi como también la solución a varios problemas de política de SELinux, el soporte IPv6 en kubelet y pluto y también el soporte de arranque híbrido para x86_64.
Para quienes desconocen de Bottlerocket, deben saber que esta es una distribución de Linux que es desarrollada con la participación de Amazon para ejecutar contenedores aislados de manera eficiente y segura. Esta nueva versión se caracteriza por ser en mayor medida una versión de actualización de paquetes, aun que también llega con algunos cambios nuevos.
La distribución se caracteriza por proporciona una imagen de sistema indivisible actualizada de forma automática y atómica que incluye el kernel de Linux y un entorno de sistema mínimo que incluye solo los componentes necesarios para ejecutar contenedores.
Sobre Bottlerocket
El entorno hace uso del gestor del sistema systemd, la biblioteca Glibc, Buildroot, el gestor de arranque GRUB, el configurador de red wicked, el tiempo de ejecución containerd para el aislamiento de contenedores, la plataforma Kubernetes, AWS-iam-autenticador,y el agente de Amazon ECS.
Las herramientas de orquestación de contenedores se envían en un contenedor de administración separado que está habilitado de manera predeterminada y administrado a través de la API y el agente de AWS SSM. La imagen base carece de un shell de comandos, un servidor SSH y lenguajes interpretados (por ejemplo, sin Python o Perl): las herramientas para el administrador y las herramientas de depuración se mueven a un contenedor de servicios separado, que está deshabilitado de manera predeterminada.
La diferencia clave con respecto a distribuciones similares como Fedora CoreOS, CentOS/Red Hat Atomic Host es el enfoque principal en proporcionar la máxima seguridad en el contexto de fortalecer el sistema contra posibles amenazas, lo que dificulta la explotación de vulnerabilidades en los componentes del sistema operativo y aumenta el aislamiento de contenedores.
Principales novedades de Bottlerocket 1.3.0
En esta nueva versión de la distribución se destaca la corrección de las vulnerabilidades en el kit de herramientas de la ventana acoplable y el contenedor del runtime (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relacionadas con la configuración incorrecta de permisos, lo que permitía a los usuarios sin privilegios abandonar el directorio base y ejecutar programas externos.
Por la parte de los cambios que se han implementado podremos encontrar que se ha agregado compatibilidad con IPv6 a kubelet y pluto, además de que se proporcionó la capacidad de reiniciar el contenedor después de cambiar su configuración y se agregó soporte para instancias Amazon EC2 M6i a eni-max-pods.
También se destacan las nuevas restricciones de MCS a la política de SELinux, asi como también la solución de varios problemas de política de SELinux, además de que para la plataforma x86_64, se implementa el modo de arranque híbrido (con compatibilidad con EFI y BIOS) y en Open-vm-tools agrega soporte para filtros de dispositivos basados en el kit de herramientas de Cilium.
Por otra parte se eliminó la compatibilidad con la versión de la distribución aws-k8s-1.17 basada en Kubernetes 1.17, con lo cual se recomienda utilizar la variante aws-k8s-1.21 con compatibilidad con Kubernetes 1.21, además de que las variantes de k8s utilizan las configuraciones cgroup runtime.slice y system.slice.
De los demás cambios que se destacan de esta nueva versión:
- Se añadió el indicador de región al comando aws-iam-authenticator
- Reiniciar contenedores de host modificados
- Se actualizó el contenedor de control predeterminado a v0.5.2
- Se actualizó eni-max-pods con nuevos tipos de instancias
- Se añadieron nuevos filtros de dispositivo de cilium a open-vm-tools
- Incluir /var/log/kdumpen logdog tarballs
- Actualizar paquetes de terceros
- Se añadió una definición de onda para una implementación lenta
- Se añadió ‘infrasys’ para crear TUF infra en AWS
- Archivar migraciones antiguas
- Cambios en la documentación
Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.