AWS全面上市開源Linux發(fā)行版

AWS已宣布其Bottlerocket容器操作系統(tǒng)全面上市。 Bottlerocket是專門設(shè)計(jì)用于運(yùn)行軟件容器的開源Linux發(fā)行版。

該Linux發(fā)行版不僅設(shè)計(jì)為運(yùn)行容器，使應(yīng)用可以在多個(gè)計(jì)算環(huán)境中運(yùn)行，而且還可以運(yùn)行一系列其他工作負(fù)載，以支持大量用例所面臨的組件難于管理的挑戰(zhàn)。

據(jù)AWS介紹，開發(fā)Bottlerocket時(shí)，AWS舍棄許多標(biāo)準(zhǔn)Linux組件，只保留了運(yùn)行基于容器的工作負(fù)載所需的組件，從而創(chuàng)建了一個(gè)易于管理且更安全的操作系統(tǒng)。因?yàn)锽ottlerocket采用精簡的代碼庫，來減少潛在的系統(tǒng)弱點(diǎn)，從而提升了安全性。

比如，AWS還采取了許多其他防護(hù)措施來幫助系統(tǒng)阻止威脅。AWS的工程師用Rust語言編寫了Bottlerocket的大部分內(nèi)容，與主要編寫Linux內(nèi)核的C語言相比，它不容易發(fā)生緩沖區(qū)溢出漏洞。

此外，AWS還增強(qiáng)了Bottlerocket抵抗持久性威脅的能力。持久性威脅(也稱為持久性惡意軟件)是一種惡意程序，可以獲取對(duì)操作系統(tǒng)關(guān)鍵組件的訪問權(quán)并利用這些組件隱藏其蹤跡。

據(jù)介紹，Bottlerocket通過使用一種名為dm-verity的Linux內(nèi)核特性來降低這種攻擊的風(fēng)險(xiǎn)。該功能可以檢測操作系統(tǒng)的某些部分，可能在未經(jīng)許可的情況下被修改，這是一種發(fā)現(xiàn)隱藏的持久性威脅的可靠方法。

AWS表示，Bottlerocket還實(shí)施了一種操作模式，通過阻止管理人員連接到生產(chǎn)服務(wù)器，進(jìn)一步提高了安全性，管理員賬戶通?？梢詮V泛訪問云實(shí)例，這使他們成為黑客的目標(biāo)。登錄到單個(gè)Bottlerocket實(shí)例的行為是為了高級(jí)調(diào)試和故障排除而進(jìn)行的一種不常見的操作。

Bottlerocket的另一個(gè)目標(biāo)是簡化操作系統(tǒng)更新，從而簡化容器的運(yùn)行。將操作系統(tǒng)更改部署到運(yùn)行任務(wù)關(guān)鍵型應(yīng)用程序的容器環(huán)境是有風(fēng)險(xiǎn)的，因?yàn)閞ollout的問題可能導(dǎo)致停機(jī)?？紤]到這一點(diǎn)，AWS在Bottlerocket中建立了一個(gè)名為原子更新(atomic updates)的功能，該功能允許管理員在操作系統(tǒng)更改導(dǎo)致錯(cuò)誤時(shí)安全地撤銷更改。

目前，Bottlerocket已經(jīng)在Github開源，包括標(biāo)準(zhǔn)的開源代碼組件，如Linux內(nèi)核，容器化容器運(yùn)行時(shí)等。還有所有設(shè)計(jì)文檔，代碼，構(gòu)建工具，測試和文檔都托管在GitHub上。