Вопрос: Является ли LXC достаточно безопасным для VPS-хостинга?


Сейчас я использую Linux VServer для хостинга VPS. Но мне не хватает некоторой функциональности (например, виртуализации использования процессора, поддержки квот для гостей и т. Д.), Поэтому я думаю о переключении на OpenVZ или непосредственно на LXC. Я где-то читал LXC, пока не считается безопасным (ex http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS) - это все еще так? Поскольку я не знаю людей, которые управляют гостями, я действительно должен заботиться о безопасности.


8
2018-01-03 09:03


Источник


были (есть?) также проблемы с фильтрацией / proc - см. bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 «контейнер lxc может отключить хост-машину» - sendmoreinfo
не совсем ответ на ваш вопрос, но считаете ли вы, что используете гипервизор? например. Xen или KVM - Luke404
Xen и kvm имеют намного более высокие накладные расходы и, следовательно, более низкую производительность. Я бы использовал только гипервизор, когда мне нужно настраиваемое ядро ​​в гостевой системе, разные хосты / гостевые ОС или другие «особые требования». - gucki


Ответы:


К наилучшим знаниям на момент написания этой статьи все еще были проблемы с фильтрацией / proc, Они должны быть рассмотрены в Linux Kernel 3.6 или новее.

Поскольку я столкнулся с той же проблемой, что и вы, я провел некоторое расследование, и я еще не убежден, что LXC является альтернативой Linux VServer,

Если вы решите не переключаться на LXC посмотрите поддержку cgroup Linux Vserver который основан на том же коде, что и LXC, и может быть вариантом для вашей установки.


5
2017-08-17 17:26



+1 с группами, + selinux. Тем не менее KVM - лучшая альтернатива. - GioMac


LXC добавила поддержку непривилегированных контейнеров из версии 1.0, а Ubuntu добавила больше правил для аранжиров из версии 14.04 LTS (5 лет), использующих ядро ​​3.13 (теперь LTS добавит поддержку ядер от утопических, ярких в течение нескольких месяцев и т. Д.),

многие вещи о безопасности с LXC теперь OLD (то же самое относится к Docker, основанному на технологиях linux-контейнеров, основанным на группах), по крайней мере, мне кажется, что lxc под Ubuntu теперь является хорошей альтернативой. Я полагаю, что то же самое относится к Debian.


0
2018-03-24 10:58