Hace poco se dio a conocer el lanzamiento de la nueva versión de la distribución de Linux «Bottlerocket 1.7.0», desarrollada con la participación de Amazon, para ejecutar contenedores aislados de forma eficaz y segura.

Para quienes desconocen de Bottlerocket, deben saber que esta es una distribución que proporciona una imagen de sistema indivisible actualizada, atómica y automáticamente que incluye el kernel de Linux y un entorno de sistema mínimo que incluye solo los componentes necesarios para ejecutar contenedores.

Sobre Bottlerocket

El entorno utiliza el administrador del sistema systemd, la biblioteca Glibc, la herramienta de compilación Buildroot, el cargador de arranque GRUB,  el tiempo de ejecución del contenedor aislado de contenedores, la plataforma de orquestación de contenedores de Kubernetes, el autenticador aws-iam y el agente de Amazon ECS.

Las herramientas de orquestación de contenedores vienen en un contenedor de administración independiente que está habilitado de forma predeterminada y se administra a través de la API y el agente de AWS SSM. La imagen base carece de un shell de comandos, un servidor SSH y lenguajes interpretados (por ejemplo, Python o Perl): las herramientas de administración y depuración se mueven a un contenedor de servicios separado , que está deshabilitado de forma predeterminada.

La diferencia clave con distribuciones similares como Fedora CoreOS, CentOS/Red Hat Atomic Host es el enfoque principal en brindar la máxima seguridad en el contexto de fortalecer la protección del sistema contra posibles amenazas, lo que complica la explotación de vulnerabilidades en los componentes del sistema operativo y aumenta el aislamiento del contenedor.

Los contenedores se crean utilizando los mecanismos habituales del kernel de Linux: cgroups, espacios de nombres y seccomp. Para un aislamiento adicional, la distribución usa SELinux en modo de «aplicación».

La partición root se monta en modo de solo lectura y la partición con la configuración /etc se monta en tmpfs y se restaura a su estado original después de reiniciar. No se admite la modificación directa de archivos en el directorio /etc, como /etc/resolv.conf y /etc/containerd/config.toml; para guardar la configuración de forma permanente, debe usar la API o mover la funcionalidad a contenedores separados.

Para la verificación criptográfica de la integridad de la partición raíz, se utiliza el módulo dm-verity y, si se detecta un intento de modificar los datos a nivel del dispositivo de bloque, el sistema se reinicia.

La mayoría de los componentes del sistema están escritos en Rust, que proporciona herramientas seguras para la memoria para evitar vulnerabilidades causadas por abordar un área de memoria después de que se haya liberado, desreferenciar punteros nulos y desbordamientos de búfer.

Al compilar, los modos de compilación «–enable-default-pie» y «–enable-default-ssp» se usan de forma predeterminada para habilitar la aleatorización del espacio de direcciones ejecutable ( PIE ) y la protección contra desbordamientos de pila a través de la sustitución de etiquetas canary.

¿Qué hay de nuevo en Bottlerocket 1.7.0?

En esta nueva versión que se presenta de la distribucion, uno de los cambios que se destaca es que al instalar paquetes RPM, se proporciona para generar una lista de programas en formato JSON y montarla en el contenedor del host como el archivo /var/lib/bottlerocket/inventory/application.json para obtener información sobre los paquetes disponibles.

Tambien se destaca en Bottlerocket 1.7.0 la actualización de los contenedores «admin» y «control», asi como tambien de las versiones de paquetes y dependencias para Go y Rust.

Por otra parte, se destacan las versiones actualizadas de paquetes con programas de terceros, ademas de que se corrigieron los problemas de configuración de tmpfilesd para kmod-5.10-nvidia y que al instalar tuftool, las versiones de dependencia están vinculadas.

Finalmente para quienes estén interesados en poder conocer más al respecto sobre esta distribución, deben saber que el kit de herramientas y los componentes de control de la distribución están escritos en Rust y se distribuyen bajo las licencias MIT y Apache 2.0.

Bottlerocket admite la ejecución de clústeres de Amazon ECS, VMware y AWS EKS Kubernetes, así como la creación de compilaciones y ediciones personalizadas que permiten diferentes orquestaciones y herramientas de tiempo de ejecución para contenedores.

Puedes consultar los detalles, en el siguiente enlace.

from Linux Adictos https://ift.tt/28Gpiml
via IFTTT

A finales del año pasado, compartimos aquí en el blog la noticia sobre la iniciativa por parte de los desarrolladores del proyecto Nitrux, sobre la creación de un nuevo entorno de escritorio para su producto y ahora en la actualidad (pocos meses después) han presentado la primera versión alfa del entorno de usuario de Maui Shell.

Este es un entorno de escritorio desarrollado de acuerdo con el concepto de «Convergencia», que implica la capacidad de trabajar con las mismas aplicaciones tanto en las pantallas táctiles de un teléfono inteligente como de una tableta y en pantallas grandes de portátiles y PC.

Maui Shell se adapta automáticamente al tamaño de la pantalla y a los métodos de entrada disponibles, y puede usarse no solo en sistemas de escritorio, sino también en teléfonos inteligentes y tabletas.

Cuando se trabaja en monitores convencionales, la shell funciona en modo de escritorio, con un panel fijo en la parte superior, la capacidad de abrir un número arbitrario de ventanas y controlar con el mouse.

Cuando está equipado con una pantalla táctil, la carcasa funciona en modo tableta con diseño vertical y ventanas que se abren en pantalla completa o en un diseño de lado a lado similar a los administradores de ventanas en mosaico.

En los teléfonos inteligentes, los elementos del panel y las aplicaciones se expanden a pantalla completa, como en las plataformas móviles tradicionales.

La misma shell se puede usar para computadoras de escritorio, teléfonos inteligentes y tabletas sin tener que crear versiones separadas para dispositivos con diferentes factores de forma. Por ejemplo, cuando usa Maui Shell en un teléfono inteligente o tableta, el shell le permite convertir su dispositivo móvil en una estación de trabajo portátil que ofrece una experiencia de escritorio completa cuando se conecta a un monitor, teclado y mouse.

Maui Shell utiliza los componentes GUI de MauiKit y el marco Kirigami, que son desarrollados por la comunidad de KDE. Kirigami se basa en Qt Quick Controls 2, mientras que MauiKit proporciona plantillas de interfaz de usuario preconstruidas que le permiten crear rápidamente aplicaciones que se adaptan automáticamente al tamaño de la pantalla y los métodos de entrada disponibles.

El proyecto también utiliza componentes como BlueDevil (gestión de Bluetooth), Plasma-nm (gestión de conexión de red), KIO, PowerDevil (gestión de energía), KSolid y PulseAudio.

La salida de información se proporciona utilizando su administrador compuesto Zpace, que se encarga de mostrar y colocar ventanas y procesar escritorios virtuales. El protocolo Wayland se utiliza como protocolo principal, que se maneja mediante la API Qt Wayland Compositor.

Además de Zpace, se ejecuta un shell Cask, que implementa un contenedor que cubre todo el contenido de la pantalla y también proporciona implementaciones básicas de elementos tales como el panel superior, cuadros de diálogo emergentes, mapas de pantalla, áreas de notificación, panel, accesos directos, interfaz de llamada de programa, etc. Además de ejecutar Maui Shell sobre su servidor compuesto Zpace, también es posible ejecutar Cask shell por separado dentro de una sesión basada en un servidor X.

La primera versión alfa marcó la implementación de la funcionalidad básica de Cask shell y el desarrollo de elementos específicos para dispositivos con diferentes factores de forma. También se agregó soporte para sonido, Bluetooth, tema oscuro, widgets para controlar la red, reproducción y brillo.

Otro de los cambios que se destaca de esta alfa, es que se ha agregado un agente basado en PolKit para realizar acciones privilegiadas y que se proporcionó la capacidad de cambiar el fondo de pantalla del escritorio y el ajuste adaptativo de los esquemas de color.

Por otra parte, tambien se destaca que se ha añadido un programa para iniciar la sesión startcask-wayland y los servicios necesarios para su funcionamiento. El panel de programas proporciona una visualización de la primera página de las aplicaciones más utilizadas, una lista de categorías de programas, descargas recientes y accesos directos para un acceso rápido.

Finalmente, cabe mencionar que en junio, se planea formar una versión beta, que mejorará la funcionalidad de Cask, ofrecerá un administrador de sesión, un bloqueo de pantalla, un sistema de administración de energía y la capacidad de controlar a través de atajos de teclado. El primer lanzamiento estable está programado para septiembre de 2022.

Para quienes estén interesados en conocer más al respecto, deben saber que el código del proyecto está escrito en C++ y QML y se distribuye bajo la licencia LGPL 3.0 y pueden consultar los detalles en la nota original en el siguiente enlace.

from Linux Adictos https://ift.tt/LRBPlus
via IFTTT