Какие технологии виртуализации Linux-на-Linux обеспечивают изоляцию пользователей? В частности, я хочу, чтобы root на виртуальной машине не имел никаких привилегий на хосте.
Это не относится к LXC , но является долгосрочной целью. Доступна ли корневая изоляция в последних версиях? Если так, то какой?
Помимо LXC, каков статус изоляции root для OpenVZ, VServer и любого другого претендента?
linux
users
root
virtualization
Жиль "ТАК - перестань быть злым"
источник
источник
Ответы:
Большинство «легких» решений для виртуализации более или менее основаны на идее chroot - со скрытыми процессами от «master». Я не видел никаких CERT о проблемах там, но это, кажется, не то, что вы ищете.
Подход с использованием гипервизора может быть больше направлением, которое вы ищете, но я бы не стал считать его «легковесным» (также PV XEN DomU довольно быстр). Строго говоря, Dom0 не запускает DomU - он говорит Гипервизору сделать это - но были CERT о повышении привилегий (VMWare ESX и XEN). Я не знаю о Hyper-V, хотя.
Для лучшей изоляции прав пользователя - там, где есть процесс в пользовательском пространстве, порождающий «изолированную» виртуальную машину, есть VirtualBox - но опять-таки - не легкий. Это полная виртуализация, но виртуальные машины могут быть запущены как «обычный» пользователь. Пользователь должен иметь доступ к базовому диску - и, если вам нужно / нужно, - к USB-устройствам.
Кроме того, есть модуль ядра для сетевого взаимодействия, который, кажется, работает довольно хорошо (с использованием DKMS).
источник