Pular para o conteúdo
Incus 7.2 chega com melhorias de segurança, SELinux por instância e nova CLI

Incus 7.2 chega com melhorias de segurança, SELinux por instância e nova CLI

Descubra as novidades da versão Incus 7.2: correções críticas, SELinux por instância, CLI aprimorada e recursos avançados de rede e armazenamento.

A equipe do Incus anunciou a disponibilização da versão Incus 7.2, trazendo um conjunto diversificado de funcionalidades, melhorias de desempenho e correções de bugs. A atualização pode ser testada online em Linux Containers – Incus – Try it online.

Correções de segurança críticas

A nova versão resolve 8 vulnerabilidades classificadas como críticas ou altas:

CVE Nível Descrição resumida
CVE‑2026‑48749 Crítica Leitura/escrita arbitrária de arquivos no host via symlink rootfs/ em imagem maliciosa
CVE‑2026‑48750 Crítica Escrita arbitrária de arquivos no host via symlink exec-output em imagem manipulada
CVE‑2026‑48751 Crítica Bypass de restrição de projeto que permite execução arbitrária de comandos
CVE‑2026‑48752 Crítica Leitura/escrita arbitrária via symlink templates/ em imagem maliciosa
CVE‑2026‑48755 Crítica Injeção de argumentos no algoritmo de compressão de backup, levando a escrita de arquivos e execução de comandos
CVE‑2026‑48769 Crítica Escrita arbitrária no cliente por causa de hash de imagem confiável
CVE‑2026‑55621 Alta Bypass de restrição de projeto ao copiar volumes personalizados entre projetos
CVE‑2026‑55622 Alta Bypass de restrição de projeto ao copiar instâncias entre projetos

Novas funcionalidades

SELinux por instância

Incus agora oferece confinamento SELinux individual para contêineres e máquinas virtuais, com alocação automática de níveis MCS (Multi‑Category Security). Foram adicionadas quatro chaves de configuração:

  • security.selinux.domain – Sobrescreve o domínio de processo SELinux.
  • security.selinux.type – Define o tipo de arquivo SELinux usado no storage da instância.
  • security.selinux.level – Define o nível MCS.
  • security.selinux.label_rootfs – Controla a rotulagem do rootfs (auto, always ou never).

O contexto calculado é armazenado em volatile.selinux.context, garantindo estabilidade entre reinicializações. Mais detalhes em Instance options – Incus documentation.

Novo comando padrão da CLI

Foi incluído o subcomando incus default para gerenciar opções padrão da linha de comando (ex.: list_format, console_type). Exemplo de uso:

incus default set list_format=compact
incus storage list
incus default unset list_format

A documentação foi atualizada para refletir essas opções.

Visualização filtrada de informações do servidor

incus info passa a exibir, por padrão, uma visão filtrada que substitui chaves privadas, certificados e tokens por SENSITIVE. Para revelar esses dados, use a flag --show-sensitive. A saída também mostra apenas a contagem de extensões da API, tornando o comando mais conciso.

Keepalive configurável via CLI

O subcomando incus remote set-keepalive permite definir ou desativar o timeout de keep‑alive nas conexões remotas, acelerando interações em ambientes de alta latência.

incus remote set-keepalive my-remote 30   # 30 s
incus remote set-keepalive my-remote 0    # desativar

Configuração de CLI por sistema operacional

A CLI passou a usar diretórios nativos:

  • macOS → ~/Library/Application Support/incus/
  • Windows → %APPDATA%\incus

A migração ocorre automaticamente no primeiro uso.

Atualização de certificado em servidores standalone

O novo comando incus admin update-certificate substitui o certificado de servidores não clusterizados, equivalente ao incus cluster update-certificate mas sem necessidade de acessar /var/lib/incus/ manualmente.

Configuração estática de rede para contêineres OCI

Contêineres OCI podem ter endereços IPv4/IPv6 configurados estaticamente via chaves ipv4.address, ipv6.address, ipv4.gateway e ipv6.gateway. Também é possível definir DNS inicial com oci.dns.nameservers, oci.dns.domain e oci.dns.search.

incus create docker:nginx my-nginx
incus config set my-nginx oci.dns.nameservers=1.0.0.1,1.1.1.1 oci.dns.domain=example.net
incus config device override my-nginx eth0 ipv4.address=10.10.10.2/24 ipv4.gateway=10.10.10.1
incus start my-nginx

Anúncio de rotas BGP por instância

Pontes gerenciadas ganharam as chaves bgp.ipv4.instances e bgp.ipv6.instances. Quando habilitadas, Incus anuncia rotas /32 (IPv4) ou /128 (IPv6) via BGP para cada instância em execução, retirando a rota ao parar a instância.

Proxy NAT com endereços dinâmicos

Dispositivos proxy em modo NAT podem usar endereços dinâmicos e wildcard (0.0.0.0) para o listen, eliminando a necessidade de especificar o IP da instância.

incus launch docker:nginx my-nginx
incus config device add my-nginx http-80 proxy listen=tcp:0.0.0.0:1234 connect=tcp:0.0.0.0:80 nat=true

Acesso NBD expandido a VMs

O endpoint GET /1.0/instances/{name}/nbd expõe todos os discos de uma VM via NBD, permitindo conexões simultâneas. O comando incus debug nbd facilita o teste.

incus start v1
incus debug nbd v1   # escuta em 127.0.0.1:36539

Compressão Btrfs por volume

A chave btrfs.compression foi adicionada ao driver Btrfs, aceitando valores como zstd, lzo, zlib ou none. Também permite sobrescrever a compressão de um filesystem existente e desativar compressão para habilitar a flag nocow em discos de VMs.

Configuração GUID SR‑IOV para InfiniBand

Dispositivos InfiniBand do tipo sriov suportam as chaves node_guid e port_guid, que alteram o GUID da VF alocada ao iniciar a instância e restauram o valor original ao parar.

Restrição de origem em WebSockets

A nova chave de configuração do servidor core.https_allowed_websocket_origin aceita uma lista separada por vírgulas ou o curinga *, controlando quais origens podem estabelecer conexões WebSocket.

Registro de funções diferidas

A liberação de recursos diferidos agora gera logs de nível WARNING, facilitando a detecção de fechamentos de arquivos, sockets ou corpos de resposta que antes eram descartados silenciosamente.

Onde encontrar o changelog completo

A lista completa de commits está disponível no repositório oficial e inclui traduções para diversos idiomas (grego, indonésio, francês, alemão, chinês, russo, sueco, italiano, tamil, espanhol, japonês, georgiano, holandês, norueguês e português).

Para detalhes técnicos e instruções de migração, consulte a documentação oficial em Incus Documentation.

Incus 7.2 está pronto para ser adotado em ambientes de produção, oferecendo maior segurança, controle granular de SELinux e uma experiência de linha de comando mais intuitiva.

Via discuss.linuxcontainers.org. Você pode conferir o post original em inglês:

Incus 7.2 has been released

Por · Última atualização: