LXC 1.0.5 版本发布公告¶
2014年7月14日
这是 LXC 1.0 系列的第五个 bug 修复版本。
seccomp 配置文件¶
除了通常的 bug 修复之外,此版本还引入了一项重要更改。
对于使用 seccomp 支持构建 LXC 的系统,容器现在将启用 seccomp 配置文件
这将阻止对以下系统调用的访问
- kexec_load
- open_by_handle_at
- init_module
- finit_module,
- delete_module.
这将防止诸如最近发布的“shocker”漏洞利用等漏洞。
此配置文件将应用于使用新样式 LXC 配置的任何新容器或现有容器
(使用公共配置的 lxc.include),因此目前以下发行版
centos、debian、fedora、gentoo、oracle、plamo 和 ubuntu。
您可以在容器的配置中添加“lxc.seccomp =”将其关闭。
如果您想手动为不使用公共配置机制的容器启用此功能,
您可以在容器配置中添加类似“lxc.seccomp = /usr/share/lxc/config/common.seccomp”的内容。
更改¶
核心
- core: 修复非特权容器以与最近的内核一起工作。
- core: 修复使用 -Werror=maybe-uninitialized 进行构建。
- core: seccomp: 不要在无法解析的系统调用上失败。
- core: lxc-init: 不要强制放弃功能。
- core: configure: 将 -lcap 和 -lselinux 从 LIBS 中分离出来。
- core: configure: 修复 libexecdir 的扩展。
- core: seccomp: 支持“all”架构部分。
- core: seccomp: 修复 32 位规则。
- core: seccomp: 为所有模板启用默认过滤器。
- core: 修复 write_config 中的损坏。
- core: attach: 修复查询当前个性。
- core: cgmanager: 使 cgm_set 和 cgm_get 在可能的情况下使用绝对路径。
- core: cgmanager: 确保 @value 在 cgm_get 中以 null 结尾。
- core: 信号过滤/解析代码的优化。
- core: apparmor: 默认允许 hugetlbfs(类似于 tmpfs 并受 hugetlb cgroup 控制器限制)。
- core: 修复 find_fstype_cb 以忽略空行和注释。
命令
- lxc-autostart: 在传递时实际尊重 -P。
- lxc-attach: 修复用法中的错别字。
- lxc-start: 传播容器退出代码。
- lxc-stop: 修复不正确的超时处理。
- lxc-device: 支持 --version。
- lxc-ls: 支持 --version。
- lxc-start-ephemeral: 支持 --version。
测试
- tests: 尽可能避免下载模板。
- tests: 未定义 HOME 时不要失败。
- tests: apparmor: 始终以换行符结束消息。
- tests: 澄清错误消息并修复返回代码。
- tests: lxc-test-ubuntu 实际上不需要 bind9-host。
模板
- lxc-debian: 标准化格式。
- lxc-debian: 修复格式。
绑定
- python3: 修复 attach_wait 和线程。
这些稳定的修复是由 11 位个人贡献者提供的。
下载¶
发行版 tarball 可以在我们的 下载页面 上找到,我们预计大多数发行版
很快就会发布 LXC 1.0.5 的打包版本。
如果您有兴趣了解具体的更改或只是查看详细的开发历史,
我们的稳定分支位于 GitHub 上。