Випуск Incus 7.2: Нові можливості та покращення безпеки

Команда Incus оголосила про випуск Incus 7.2, системного контейнера та менеджера віртуальних машин, розробленого як спільний форк LXD. Оновлення вирішує вісім проблем безпеки, включаючи шість критичних уразливостей.

Виправлення вразливостей та нові функції

Серед уразливостей є недоліки, які можуть дозволити довільний доступ до файлів на хості через шкідливі образи, обхід обмежень проекту та проблеми з ін’єкцією аргументів при обробці резервного копіювання, що може призвести до несанкціонованого запису файлів і виконання команд.

Ключовою новою функцією є інтеграція SELinux для кожного контейнера. Incus тепер застосовує обмеження SELinux індивідуально до контейнерів та віртуальних машин, автоматично розподіляючи рівні MCS для ізоляції екземплярів на одному хості. Крім того, версія 7.2 також впроваджує ключі налаштувань для переозначення домену процесу SELinux, типу файлу, рівня MCS та маркування кореневої файлової системи.

Поліпшення управління та мережеві функції

Нова команда incus default дозволяє більш ефективно керувати стандартними параметрами CLI. У той же час команда incus info тепер приховує чутливу інформацію, таку як приватні ключі, сертифікати та токени, якщо не використано прапорець --show-sensitive. Крім того, Incus 7.2 впроваджує підкоманду incus remote set-keepalive, що дозволяє налаштовувати або вимикати тайм-аути підтримки зв’язку для віддалених підключень.

Щодо мережі, Incus 7.2 додає підтримку статичної мережевої конфігурації для OCI-додатків, включаючи статичні адреси IPv4 та IPv6, шлюзи та налаштування DNS. Поліпшення мережі продовжуються з додаванням рекламації маршруту BGP для кожного екземпляра. Керовані містки тепер можуть рекламувати маршрут /32 для IPv4 або /128 для IPv6 для кожного запущеного екземпляра та відкликати маршрут при зупинці екземпляра.

Покращене управління запасними копіями віртуальних машин

Запасні копії віртуальних машин також покращені новим API-інтерфейсом NBD, який відкриває доступ до всіх дисків VM через NBD, що дозволяє одночасний доступ до всіх дисків. Крім того, реліз впроваджує ключ конфігурації btrfs.compression для об’ємів з використанням драйвера Btrfs.

До додаткових змін входить підтримка налаштування GUID вузлів і портів на пристроях InfiniBand SR-IOV, налаштування обмеження походження WebSocket та журналізація очищення на рівні репозиторію. Тепер користувачі можуть бачити нові записи журналу попереджень при закритті файлів, сокетів або тіл відповідей.

Додаткова інформація про Incus 7.2

Користувачі можуть спробувати нові функції на Incus онлайн платформі, яка пропонує практичний досвід із останньою версією. Більше деталей ви знайдете в повному списку змін.