Apakah ada perbedaan penting antara LXC (wadah Linux) dan penjara FreeBSD dalam hal keamanan, stabilitas & kinerja?
Pada pandangan pertama, kedua pendekatan terlihat sangat mirip.
Apakah ada perbedaan penting antara LXC (wadah Linux) dan penjara FreeBSD dalam hal keamanan, stabilitas & kinerja?
Pada pandangan pertama, kedua pendekatan terlihat sangat mirip.
Jawaban:
Tidak peduli nama mewah yang digunakan di sini, keduanya adalah solusi untuk masalah tertentu: Solusi pemisahan yang lebih baik daripada chroot Unix klasik . Virtualisasi tingkat sistem operasi, wadah, zona, atau bahkan "chroot with steroids" adalah nama atau judul komersial yang mendefinisikan konsep pemisahan ruang pengguna yang sama, tetapi dengan fitur yang berbeda.
Chroot diperkenalkan pada 18 Maret 1982, berbulan-bulan sebelum rilis 4.2 BSD , sebagai alat untuk menguji instalasi dan membangun sistem, tetapi hari ini masih memiliki kekurangan. Karena tujuan pertama chroot adalah hanya untuk menyediakan jalur root baru , aspek-aspek lain dari sistem yang perlu diisolasi atau dikendalikan terungkap (jaringan, tampilan proses, I / O throughput). Di sinilah wadah pertama (virtualisasi tingkat Pengguna) muncul.
Kedua teknologi (FreeBSD Jails dan LXC) memanfaatkan isolasi userspace untuk memberikan lapisan keamanan lain. Kompartementalisasi ini akan memastikan bahwa proses yang ditentukan hanya akan berkomunikasi dengan proses lain dalam wadah yang sama pada host yang sama, dan jika menggunakan sumber daya jaringan apa pun untuk mencapai komunikasi "dunia luar", semua akan diteruskan ke antarmuka / saluran yang ditetapkan yang digunakan wadah ini. telah.
fitur
Penjara FreeBSD:
allow.mount.zfs
untuk mencapai lebih banyak kekuatan, dan variabel-variabel lain sepertichildren.max
memang mendefinisikan max child jails.vnet
, memungkinkan setiap penjara memiliki tumpukan jaringan, antarmuka, pengalamatan dan tabel perutean sendiri;nullfs
untuk membantu menautkan folder ke folder yang terletak di server asli ke dalam penjara;sysctl
).security.jail.allow.*
parameter akan membatasi tindakan pengguna root penjara itu.Linux Containers (LXC):
Fungsionalitas migrasi langsung sedang dikembangkan. Sangat sulit untuk mengatakan kapan akan siap untuk digunakan produksi, karena buruh pelabuhan / lxc harus berurusan dengan proses userspace jeda, snapshot, migrasi dan konsolidasi - ref1 , ref2 .Migrasi langsung berfungsi dengan wadah dasar (tidak ada perangkat yang tidak melewati layanan jaringan yang kompleks atau konfigurasi penyimpanan khusus).Docker tidak lagi menggunakan lxc. Mereka sekarang memiliki lib khusus yang disebut libcontainer yang menangani integrasi dengan namespace Kernel tingkat rendah dan fitur cgroup secara langsung.
Baik teknologi adalah obat mujarab keamanan, tetapi keduanya adalah cara yang cukup baik untuk mengisolasi lingkungan yang tidak memerlukan Virtualisasi Penuh karena infrastruktur sistem operasi campuran. Keamanan akan muncul setelah banyak pembacaan dokumentasi dan implementasi merdu kernel, MAC dan isolasi yang ditawarkan oleh OS-Level tersebut kepada Anda.
Lihat juga:
sumber
root
(dan dengan demikian terletak di lokasi sistem untuk kontainer).