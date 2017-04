Nachdem im vorigen Jahr der Schwerpukt auf anderen Plattformen lag, gibt Docker nun mit LinuxKit eine Open-Source-Werkzeugsammlung zum Erstellen individueller, sicherer Linux-Subsysteme frei.

LinuxKit ist eines der im Zuge der DockerCon freigegebenen Open-Source-Projekte. Das Toolkit entstand in Zusammenarbeit mit HPE, Intel, ARM, IBM und Microsoft im Rahmen von Dockers Bemühungen, die Containerisierungstechnik des Unternehmens auf anderen Plattformen als Linux verfügbar zu machen. Dafür waren sichere, relativ kleine und portable Linux-Subsysteme notwendig, die die zur Containerisierung nötigen Funktionen bereitstellen konnten. LinuxKit vereint entsprechende Werkzeuge zum Erstellen minimaler Linux-Distributionen und ist nun unter einer Apache-2-Lizenz geschützt auf GitHub verfügbar.

Systemdienste des Kits laufen in Containern, die als Sandbox dienen sollen und nur die Rechte einräumen, die die Dienste tatsächlich zum Funktionieren benötigen. Durch diese Bauart lassen sich Komponenten nach Belieben entfernen und austauschen. Der Kernel des Kits ist der Sicherheit wegen in Zusammenarbeit mit der Linux-Kernel-Community und Gruppen wie dem Kernel Self Protection Project entstanden, wobei aktuelle Versionen nur mit Patches für die Plattformen ausgeliefert werden, die LinuxKit unterstützt.

Da Sicherheit neben der Projektgröße (35 MByte) einer der zentralen Aspekte während der Entwicklung war, arbeitet Docker mit Projekten wie Wireguard, Landlock, Mirage und Clear Containers zusammen, die auf lange Sicht die Sicherheit von Linux verbessern sollen, und bietet ihnen ein Testbed für ihre Arbeiten. Darüber hinaus war den Entwicklern der Einsatzkontext wichtig, sodass bei der Gestaltung das Erstellen und Ausführen auf Clustern verteilter Anwendungen und die Verwaltung mit externen Tools wie Infrakit berücksichtigt wurden. LinuxKit nutzt das ebenfalls auf der DockerCon vorgestellte Moby. (jul)