Apa teknologi virtualisasi Linux-on-Linux menyediakan isolasi pengguna? Secara khusus, saya ingin root di mesin virtual tidak memiliki hak istimewa pada host.
Ini bukan kasus untuk LXC , tetapi merupakan tujuan jangka panjang. Apakah isolasi root tersedia dalam versi terbaru? Jika ya, yang mana?
Selain LXC, apa status isolasi root untuk OpenVZ, VServer dan pesaing lainnya?
linux
users
root
virtualization
Gilles 'SANGAT berhenti menjadi jahat'
sumber
sumber
Jawaban:
Kebanyakan solusi virtualisasi "ringan" kurang lebih didasarkan pada ide chroot - dengan proses tersembunyi dari "master". Saya tidak melihat CERT tentang masalah di sana, tetapi sepertinya ini bukan yang Anda cari.
Pendekatan Hypervisor mungkin lebih ke arah yang Anda cari - tetapi saya tidak akan menganggapnya sebagai "ringan" (juga PV XEN DomU cukup cepat). Sebenarnya, Dom0 tidak memulai DomU - ini memberi tahu Hypervisor untuk melakukannya - tetapi ada beert CERT tentang peningkatan hak pribadi (VMWare ESX dan XEN). Saya tidak tahu tentang Hyper-V.
Untuk isolasi yang lebih baik dari hak-hak pengguna - di mana ada proses ruang-pengguna yang menghasilkan VM "terisolasi" ada VirtualBox - tapi sekali lagi - tidak ringan. Ini adalah virtualisasi penuh, tetapi VM dapat dimulai sebagai pengguna "normal". Pengguna harus memiliki akses ke disk yang mendasarinya - dan jika Anda ingin / perlu - perangkat-usb.
Selain itu ada modul kernel untuk hal-hal jaringan, yang tampaknya berfungsi dengan baik (menggunakan DKMS).
sumber