AWS今天宣布Bottlerocket全面上市，這是一款專門為了運行軟件容器而開發(fā)的開源Linux發(fā)行版。

　　主流的Linux發(fā)行版不僅設(shè)計可以運行容器（容器讓應(yīng)用可以運行在多個計算環(huán)境中），而且還可以運行一系列其他工作負(fù)載，因為支持大量用例，所以有大量難以管理的組件。

　　在開發(fā)Bottlerocket時，AWS去掉了很多標(biāo)準(zhǔn)Linux組件，只保留了運行容器工作負(fù)載所需的組件，從而打造了一個易于管理且更為安全的操作系統(tǒng)，之所以安全性更高，是因為Bottlerocket較小的代碼庫減少了黑客可以利用的潛在漏洞。

　　此外，AWS采取了許多其他防護(hù)措施來防止威脅，例如工程師利用Rust語言編寫了Bottlerocket的大部分內(nèi)容，這與主要用C語言編寫的Linux內(nèi)核相比降低了緩沖區(qū)溢出的可能性。

　　此外AWS還提高了Bottlerocket的安全性以應(yīng)對所謂的持久性威脅。持久性威脅（也稱為持久性惡意軟件）是一種惡意程序，可以獲取對操作系統(tǒng)關(guān)鍵組件的訪問權(quán)，并利用這些組件隱藏其蹤跡。

　　Bottlerocket通過稱為dm-verity的Linux內(nèi)核功能來降低此類攻擊的風(fēng)險，該功能會檢測未經(jīng)許可被篡改的操作系統(tǒng)，而這也是發(fā)現(xiàn)隱藏持久性惡意軟件的一個可靠方法。

　　AWS產(chǎn)品經(jīng)理Samartha Chandrashekar在博客文章中表示：“Bottlerocket還可以通過阻止與生產(chǎn)服務(wù)器的管理連接來強(qiáng)制實施一種操作模型，進(jìn)一步提高安全性。”管理員帳戶通常可以廣泛訪問云實例，這使其成為黑客的目標(biāo)。“登錄到單個Bottlerocket實例，對于高級調(diào)試和故障排除來說是一種不常見的操作行為。”

　　Bottlerocket簡化容器運行的另一種方法，是簡化操作系統(tǒng)更新。將操作系統(tǒng)變更部署到運行關(guān)鍵任務(wù)應(yīng)用的容器環(huán)境，這種行為是存在風(fēng)險的，因為部署問題可能會導(dǎo)致停機(jī)。考慮到這一點，AWS在Bottlerocket中開發(fā)了一項名為原子更新的功能，讓管理員可以在導(dǎo)致錯誤的情況下安全地撤消操作系統(tǒng)變更。

　　“可以以原子方式應(yīng)用和回滾Bottlerocket的更新，使其更容易實現(xiàn)自動化，減少管理開銷，降低運營成本，”Chandrashekar說道。來源：siliconANGLE