Я просто хочу знать, что контейнеры Linux (LXD) обеспечивают безопасность?
Так, что если на контейнере заразиться вирусом, это повлияет на всю систему (ядро + другие контейнеры) или на тот же контейнер?
Это будет влиять просто на контейнер, поскольку контейнер выполнит наличие его собственных пространств имен:
пространство имен
PID Монтирует пространство имен
пространство имен
Сети пространства имен
пространства имен
UTS, Если уязвимость не будет иметь способность убежать из этой границы пространства имен для вхождения в хост-систему, это не будет влиять на хост-систему каким-либо образом. Примечание, что, в прошлом несколько уязвимостей были обнаружены в lxc
, таким образом, необходимо высматривать lxc
, связывало CVEs регулярно, чтобы быть на более безопасной стороне.
кроме того, как дополнительный уровень безопасности lxc
использование apparmor
для заключения ресурса, соответствующие профили AppArmor определяются в /etc/apparmor.d/lxc/
.
Как со всеми пакетами, LXC имел проблемы безопасности, см. , Где lxc границы безопасности контейнеров?
и https://wiki.ubuntu.com/LxcSecurity
Там является уязвимостями, о которых сообщают с некоторой регулярностью - http://www.ubuntu.com/search?q=LXC+USN
В основном в оболочке гайки, поскольку LXC использует ядро хоста, любые уязвимости ядра будут существовать в LXC также.
, по моему скромному мнению, необходимо ограничить контейнеры с apparmor. https://help.ubuntu.com/12.04/serverguide/apparmor.html
Иначе, по моему скромному мнению, Ваш вопрос довольно широк.