Безопасность контейнеров LXD, LXC

Я просто хочу знать, что контейнеры Linux (LXD) обеспечивают безопасность?

Так, что если на контейнере заразиться вирусом, это повлияет на всю систему (ядро + другие контейнеры) или на тот же контейнер?

1
задан 4 March 2016 в 23:16

2 ответа

Это будет влиять просто на контейнер, поскольку контейнер выполнит наличие его собственных пространств имен:

  • пространство имен

  • PID Монтирует пространство имен

  • пространство имен

  • Сети пространства имен

  • IPC Пользовательское пространство имен

пространства имен

UTS, Если уязвимость не будет иметь способность убежать из этой границы пространства имен для вхождения в хост-систему, это не будет влиять на хост-систему каким-либо образом.

Примечание, что, в прошлом несколько уязвимостей были обнаружены в lxc, таким образом, необходимо высматривать lxc, связывало CVEs регулярно, чтобы быть на более безопасной стороне.

кроме того, как дополнительный уровень безопасности lxc использование apparmor для заключения ресурса, соответствующие профили AppArmor определяются в /etc/apparmor.d/lxc/.

0
ответ дан 5 March 2016 в 09:16
  • 1
    Можно также использовать Ctrl+K для форматирования текста как кода. – Bajiru 3 June 2017 в 06:03

Как со всеми пакетами, LXC имел проблемы безопасности, см. , Где lxc границы безопасности контейнеров?

и https://wiki.ubuntu.com/LxcSecurity

Там является уязвимостями, о которых сообщают с некоторой регулярностью - http://www.ubuntu.com/search?q=LXC+USN

В основном в оболочке гайки, поскольку LXC использует ядро хоста, любые уязвимости ядра будут существовать в LXC также.

, по моему скромному мнению, необходимо ограничить контейнеры с apparmor. https://help.ubuntu.com/12.04/serverguide/apparmor.html

Иначе, по моему скромному мнению, Ваш вопрос довольно широк.

0
ответ дан 5 March 2016 в 09:16
  • 1
    Я не могу обновить до более новых версий от 14,04, потому что моя система даже иногда замораживается когда I' m запускающий Windows 7 и требуется больше чем 4 минуты иногда для восстановления (особенно с Internet Explorer). I' m также боящийся моей системы, зависающей с дистрибутивами, более новыми, чем 14,04. – Bajiru 3 June 2017 в 06:03

Другие вопросы по тегам:

Похожие вопросы: