Sistemas imutáveis, conteiners, segurança, open source, Ostree

Colin Walters: CoreOS/ostree engenheiro pela RedHat

"…Em contraste com esses tipos de sistemas(iOS, Android, ChromeOS) temos as distribuições “tradicionais” do Linux, os BSDs, etc. A maioria das distribuições do Linux está fortemente associada a um “gerenciador de pacotes” - o que torna rápido e fácil adicionar software ao seu sistema de arquivos raiz.

Por outro lado, é claro, também é rápido e fácil o código malicioso terminar no seu sistema de arquivos raiz (ou diretório pessoal) se você estiver executando um navegador ou serviço vulnerável da Web, ou extrair de fontes não confiáveis, etc. você não é diligente com atualizações…"

“…Hoje, por exemplo, o rpm-ostree suporta a substituição fácil do kernel; apenas com rpm-ostree override replace /path/to/kernel.rpm . Além disso, o fato de ser o mesmo pacote de kernel das instalações “tradicionais” do Fedora não pode ser enfatizado o suficiente - isso nos ajuda a sustentar duas maneiras diferentes de consumir o mesmo conteúdo do sistema operacional. Não podemos simplesmente quebrar casos de uso não contêiner da noite para o dia.”

"Mais importante: aplicar atualizações de segurança por padrão

Como mencionado acima: acho que uma das coisas mais importantes que podemos fazer para segurança é simplesmente chegar a um mundo em que as atualizações de segurança ( especialmente para o sistema operacional / sistema de arquivos raiz) são aplicadas automaticamente por padrão. Essa é obviamente a jogada ousada que o Container Linux fez, e nós a preservaremos com o Fedora CoreOS.

Este blog é focado no sistema operacional base, mas quando os aplicativos são contêineres, geralmente também é muito mais fácil mantê-los atualizados.

Fazer atualizações automáticas como essa é muito mais viável se for dissociado dos aplicativos principais e também se for totalmente transacional / seguro, como o rpm-ostree permite…"

1 Curtida