
Incus 7.2 Container & Virtual Machine Manager Released with SELinux Support
Incus 7.2 behebt acht Sicherheitslücken, darunter sechs kritische Probleme, und führt zudem eine instanzspezifische SELinux-Einschränkung für Container und VMs ein.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Das Incus-Team hat die Veröffentlichung von Incus 7.2 bekannt gegeben, einem Systemcontainer- und Virtual-Machine-Manager, der als von der Community geleiteter Fork von LXD entwickelt wurde. Das Update behebt acht Sicherheitsprobleme, darunter sechs kritische Schwachstellen.
Dazu gehören Schwachstellen, die über bösartige Images den Zugriff auf beliebige Dateien auf dem Host ermöglichen könnten, Umgehungen von Projektbeschränkungen sowie ein Problem mit der Argument-Injektion bei der Verarbeitung von Backup-Komprimierungen, das zu unbefugten Dateischreibvorgängen und der Ausführung von Befehlen führen könnte.
Eine wichtige neue Funktion ist die SELinux-Integration auf Instanzebene. Incus wendet die SELinux-Einschränkung nun individuell auf Container und virtuelle Maschinen an und weist automatisch MCS-Levels zu, um Instanzen auf demselben Host voneinander zu isolieren. Darüber hinaus führt Incus 7.2 Konfigurationsschlüssel ein, mit denen die SELinux-Prozessdomäne, der Dateityp, das MCS-Level und die Kennzeichnung des Root-Dateisystems überschrieben werden können.
Mit dem neuen Befehl incus default können Benutzer die Standardoptionen der Befehlszeilenschnittstelle (CLI) effizienter verwalten. Gleichzeitig blendet der Befehl incus info nun sensible Informationen wie private Schlüssel, Zertifikate und Tokens aus, sofern nicht das Flag --show-sensitive verwendet wird. Darüber hinaus führt Incus 7.2 den Unterbefehl incus remote set-keepalive ein, mit dem Benutzer Keepalive-Timeouts für Remote-Verbindungen konfigurieren oder deaktivieren können.
Im Bereich Netzwerk bietet Incus 7.2 nun Unterstützung für statische Netzwerkkonfigurationen für OCI-Anwendungscontainer, einschließlich statischer IPv4- und IPv6-Adressen, Gateways und DNS-Einstellungen.
Die Verbesserungen im Netzwerkbereich setzen sich mit der Einführung der instanzspezifischen BGP-Routenankündigung fort. Verwaltete Bridge-Netzwerke können nun für jede laufende Instanz eine /32-IPv4- oder /128-IPv6-Route ankündigen und die Route zurückziehen, wenn die Instanz beendet wird.
Proxy-Geräte im NAT-Modus unterstützen nun dynamische und Wildcard-Listen-Adressen. Incus kann die IP-Adressen der Instanzen durch Überwachung von ARP und NDP beim Start ermitteln, wodurch die Notwendigkeit entfällt, Adressen in Proxy-Konfigurationen fest zu codieren.
Die Workflows für die Sicherung virtueller Maschinen wurden ebenfalls verbessert: Ein neuer NBD-API-Endpunkt stellt alle VM-Festplatten über NBD bereit und ermöglicht so den gleichzeitigen Zugriff auf alle Festplatten. Darüber hinaus führt diese Version den Konfigurationsschlüssel btrfs.compression für Speichervolumes ein, die den Btrfs-Treiber verwenden.
Weitere Änderungen umfassen die Unterstützung für die Konfiguration von Knoten- und Port-GUIDs auf InfiniBand-SR-IOV-Geräten, eine Einstellung zur Einschränkung der WebSocket-Herkunft sowie die repositoryweite Protokollierung von aufgeschobenen Bereinigungen. Benutzer sehen nun möglicherweise neue Protokolleinträge der Warnstufe beim Schließen von Dateien, Sockets oder Antwortinhalten.
Weitere Details finden Sie in der Veröffentlichungsankündigung oder im vollständigen Changelog.
Benutzern wird empfohlen, diese neuen Funktionen auf der Incus-Online-Plattform auszuprobieren, die eine praktische Erfahrung mit der neuesten Version bietet.
Spendieren Sie Bobby einen ☕ Ko-fi
s3n🧩net wünscht viel Vergnügen
















Comments