Bottlerocket - Minimales unveränderliches Linux-OS mit Verified Boot

 (bottlerocket.dev)
1 Punkte von GN⁺ 2023-09-24 | 1 Kommentare | Auf WhatsApp teilen
  • Linux-basiertes Betriebssystem, optimiert für das Hosting von Containern
  • Entwickelt für den Einsatz mit Container-Orchestratoren (z. B. Kubernetes), um den Lebenszyklus von Containern, die in einem Cluster laufen, zu automatisieren
  • Die drei Hauptziele sind: Minimalismus, sichere Updates und ein Fokus auf Sicherheit
  • Es gibt keine Shell, aber über einen privilegierten „Host“-Container kann mit dem System interagiert werden
  • Updates werden über Images bereitgestellt, die in eine bestimmte Partition heruntergeladen werden. Bottlerocket tauscht die Partitionen aus und bootet atomar in die neue Version
  • Zur Verwaltung von Updates werden mehrere Partitionen verwendet. Beim Neustart erfolgen atomare Änderungen
  • Updates können manuell oder über die nur für Orchestratoren vorgesehenen Tools Bottlerocket Update Operator (brupop) und ECS updater verwaltet werden
  • Geschrieben in Rust und etwas Golang
  • Das Root-Dateisystem von Bottlerocket ist unveränderlich. dm-verity bietet transparente Integritätsprüfungen des Root-Dateisystems; wenn Änderungen am zugrunde liegenden Blockgerät erkannt werden, wird der Kernel neu gestartet
  • Bottlerocket verfügt über ein variables Dateisystem mit stets aktivierten, erzwungenen und restriktiven SELinux-Richtlinien, was dabei hilft zu verhindern, dass als Root laufende Container riskante Operationen ausführen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-24
Hacker-News-Kommentar
  • Bottlerocket wird als ein AWS/Amazon-Projekt wahrgenommen, für das es keinen klaren Weg zur Unabhängigkeit gibt.
  • Dieses OS bietet kein Vulnerability-Scanning, sofern man keine Amazon-Produkte verwendet.
  • Bottlerocket bietet keinen FIPS-Modus, den einige Unternehmenskunden benötigen.
  • Der Weg, Bottlerocket unabhängig zu betreiben, wirkt undurchsichtig, da auf der Hauptseite nur eine GitHub-Seite aufgeführt ist.
  • Bottlerocket wird hinsichtlich der Anleitungen mit CoreOS verglichen.
  • Die Abschnitte „Erste Schritte“ und FAQ liefern keine klaren Anweisungen dazu, wie man Bottlerocket ausführt.
  • Bottlerocket könnte für AMD SEV-SNP nützlich sein, das Messungen von Kernel, initrd und Argumenten bereitstellt.
  • Einige Nutzer bevorzugen CoreOS gegenüber Bottlerocket und fragen sich, ob es irgendetwas gibt, das für die Nutzung außerhalb von AWS als Open Source verfügbar gemacht wurde.
  • Es gibt Fragen zur Praxistauglichkeit der Nutzung von Bottlerocket außerhalb von AWS.
  • Dieses OS hat keine Shell, was Bedenken hinsichtlich der Nutzbarkeit außerhalb bestimmter Szenarien aufwirft.
  • Einige Nutzer stellen den Trend zu isolierten Containern mit virtuellem Dateisystem und Netzwerk infrage und schlagen stattdessen die direkte Nutzung von OS und Hardware vor.