AWS今天宣布Bottlerocket全面上市，這是一款專門為了運行軟件容器而開發(fā)的開源Linux發(fā)行版。

　　主流的Linux發(fā)行版不僅設計可以運行容器（容器讓應用可以運行在多個計算環(huán)境中），而且還可以運行一系列其他工作負載，因為支持大量用例，所以有大量難以管理的組件。

　　在開發(fā)Bottlerocket時，AWS去掉了很多標準Linux組件，只保留了運行容器工作負載所需的組件，從而打造了一個易于管理且更為安全的操作系統(tǒng)，之所以安全性更高，是因為Bottlerocket較小的代碼庫減少了黑客可以利用的潛在漏洞。

　　此外，AWS采取了許多其他防護措施來防止威脅，例如工程師利用Rust語言編寫了Bottlerocket的大部分內容，這與主要用C語言編寫的Linux內核相比降低了緩沖區(qū)溢出的可能性。

　　此外AWS還提高了Bottlerocket的安全性以應對所謂的持久性威脅。持久性威脅（也稱為持久性惡意軟件）是一種惡意程序，可以獲取對操作系統(tǒng)關鍵組件的訪問權，并利用這些組件隱藏其蹤跡。

　　Bottlerocket通過稱為dm-verity的Linux內核功能來降低此類攻擊的風險，該功能會檢測未經(jīng)許可被篡改的操作系統(tǒng)，而這也是發(fā)現(xiàn)隱藏持久性惡意軟件的一個可靠方法。

　　AWS產(chǎn)品經(jīng)理Samartha Chandrashekar在博客文章中表示：“Bottlerocket還可以通過阻止與生產(chǎn)服務器的管理連接來強制實施一種操作模型，進一步提高安全性。”管理員帳戶通常可以廣泛訪問云實例，這使其成為黑客的目標。“登錄到單個Bottlerocket實例，對于高級調試和故障排除來說是一種不常見的操作行為。”

　　Bottlerocket簡化容器運行的另一種方法，是簡化操作系統(tǒng)更新。將操作系統(tǒng)變更部署到運行關鍵任務應用的容器環(huán)境，這種行為是存在風險的，因為部署問題可能會導致停機�？紤]到這一點，AWS在Bottlerocket中開發(fā)了一項名為原子更新的功能，讓管理員可以在導致錯誤的情況下安全地撤消操作系統(tǒng)變更。

　　“可以以原子方式應用和回滾Bottlerocket的更新，使其更容易實現(xiàn)自動化，減少管理開銷，降低運營成本，”Chandrashekar說道。來源：siliconANGLE