AWS全面上市开源Linux发行版

AWS已宣布其Bottlerocket容器操作系统全面上市。 Bottlerocket是专门设计用于运行软件容器的开源Linux发行版。

该Linux发行版不仅设计为运行容器，使应用可以在多个计算环境中运行，而且还可以运行一系列其他工作负载，以支持大量用例所面临的组件难于管理的挑战。

据AWS介绍，开发Bottlerocket时，AWS舍弃许多标准Linux组件，只保留了运行基于容器的工作负载所需的组件，从而创建了一个易于管理且更安全的操作系统。因为Bottlerocket采用精简的代码库，来减少潜在的系统弱点，从而提升了安全性。

比如，AWS还采取了许多其他防护措施来帮助系统阻止威胁。AWS的工程师用Rust语言编写了Bottlerocket的大部分内容，与主要编写Linux内核的C语言相比，它不容易发生缓冲区溢出漏洞。

此外，AWS还增强了Bottlerocket抵抗持久性威胁的能力。持久性威胁(也称为持久性恶意软件)是一种恶意程序，可以获取对操作系统关键组件的访问权并利用这些组件隐藏其踪迹。

据介绍，Bottlerocket通过使用一种名为dm-verity的Linux内核特性来降低这种攻击的风险。该功能可以检测操作系统的某些部分，可能在未经许可的情况下被修改，这是一种发现隐藏的持久性威胁的可靠方法。

AWS表示，Bottlerocket还实施了一种操作模式，通过阻止管理人员连接到生产服务器，进一步提高了安全性，管理员账户通常可以广泛访问云实例，这使他们成为黑客的目标。登录到单个Bottlerocket实例的行为是为了高级调试和故障排除而进行的一种不常见的操作。

Bottlerocket的另一个目标是简化操作系统更新，从而简化容器的运行。将操作系统更改部署到运行任务关键型应用程序的容器环境是有风险的，因为rollout的问题可能导致停机。考虑到这一点，AWS在Bottlerocket中建立了一个名为原子更新(atomic updates)的功能，该功能允许管理员在操作系统更改导致错误时安全地撤销更改。

目前，Bottlerocket已经在Github开源，包括标准的开源代码组件，如Linux内核，容器化容器运行时等。还有所有设计文档，代码，构建工具，测试和文档都托管在GitHub上。