You are viewing documentation for Falco version: v0.36.2

Falco v0.36.2 documentation is no longer actively maintained. The version you are currently viewing is a static snapshot. For up-to-date documentation, see the latest version.

Featured Image for Falco 0.22 a.k.a. "the hard fixes release"
Leonardo Di Donato, Lorenzo Fontana

Falco 0.22 a.k.a. "the hard fixes release"

又一个月过去了,Falco 继续成长!

今天我们宣布发布 Falco 0.22🥳

您可以在此处查看整个更改集:

  • 0.22.0 - 感谢Leonardo Grasso首次发布!
  • 0.22.1 - 我和Lorenzo Fontana的修补程序

如果您只想试用稳定的 Falco 0.22,您可以按照文档中概述的常规过程安装其软件包:

你更喜欢使用docker镜像吗?没问题!

docker pull falcosecurity/falco:0.22.1
docker pull falcosecurity/falco:0.22.1-minimal
docker pull falcosecurity/falco:0.22.1-slim

值得注意的变化

此版本包含许多针对长期存在的棘手错误的修复!

但也有一些新功能 😊

如果您自己管理 Falco 驱动程序,请确保将它们更新到版本 a259b4bf49c3330d9ad6c3eed9eb1a31954259a6(参考此处)。(https://github.com/falcosecurity/falco/blob/9f6833e1dbd95b10f7d672d457cec70b5e19e5c1/cmake/modules/sysdig.cmake#L29)).

###eBPF驱动程序

一些用户报告了让eBPF驱动程序在GKE上工作的问题。

这个版本最终引入了一个修复它。

###值

一些用户报告他们在警报中获得了 docker 和 Kubernetes 元数据的 值。

使用以下拉取请求 falco#1133、falco#1138和falco#1140,问题现在应该得到明确的修复,正如测试包含修复的Falco开发版本的用户所报告的那样。

###Falco版本和驱动程序版本现在不同了!

经过对Falco进行更好的模块化的过程,现在Falco版本和它的驱动程序版本最终是两个截然不同的东西!

显然,为了获得这一点,packagin 系统和 falco-driver-loader 脚本中都需要一些 PRsstd_out_tongue_closed_eyes。

规则,规则无处不在!

此版本也有很多规则更改。 此版本也有很多规则更改。 最值得注意的是vicenteherrera创建了许多新规则:

  • 完整的 K8s 管理权限
  • 没有创建 TLS 证书的入口对象
  • 不受信任的节点成功加入集群
  • 不信任节点尝试加入集群失败
  • 本地子网之外的网络连接
  • 出站或入站流量未到授权服务器进程和端口

谢谢Vicente! 🙌🏻

同步CRI元数据获取

感谢 PR falco#1099,用户现在可以禁用 CRI 元数据的异步获取,强制它同步。

为此,只需将 --disable-cri-async 标志传递给Falco。

虽然这会减慢 Falco 事件处理并导致丢弃率提高,但它有助于减少容器元数据的空值。

在使用此标志之前,请试用此版本,因为它包含针对此主题的其他修复!

##一些统计数据

23合并了 23 个拉取请求,其中 18 个包含直接针对我们最终用户的更改。

49自上次发布以来,在 30 天内提交了 49 次。

##即将发生的事情

驱动程序构建网格已基本准备就绪。

只是缺少一些改进,然后Falco将在安装过程中再次下载一组预构建的驱动程序(内核模块和eBPF探测器)!