¿Es LXC lo suficientemente seguro para el alojamiento de VPS?

8

En este momento estoy usando Linux VServer para el alojamiento de VPS. Pero carece de alguna funcionalidad que necesito (por ejemplo, virtualización de uso de CPU, soporte de cuotas para invitados, etc.), así que estoy pensando en cambiar a OpenVZ o directamente a LXC. Leí en alguna parte que LXC aún no se considera seguro (por ejemplo, http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS ). ¿Sigue siendo cierto? Como no conozco a las personas que dirigen a los invitados, realmente tengo que cuidar la seguridad.

gucki
fuente
también hubo (¿hay?) problemas con el filtrado / proc - vea bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 "el contenedor lxc puede apagar la máquina host"
sendmoreinfo
no es exactamente una respuesta a su pregunta, pero ¿ha considerado usar un hipervisor? p.ej. Xen o KVM
Luke404
Xen y kvm tienen una sobrecarga mucho mayor y, por lo tanto, un rendimiento menor. Solo usaría un hipervisor cuando necesito un kernel personalizado en un invitado, un host / invitado diferente u otros "requisitos especiales".
gucki

Respuestas:

4

Hasta donde se sabe al momento de escribir esto, todavía había problemas críticos con el filtrado / proc . Deben abordarse en Linux Kernel 3.6 o posterior.

Como estoy enfrentando el mismo problema que tú, he investigado un poco y todavía no estoy convencido de que LXC sea una alternativa a Linux VServer .

Si decide no cambiar a LXC, eche un vistazo al soporte de cgroup de Linux Vserver, que se basa en el mismo código que LXC y puede ser una opción para su configuración.

Texas
fuente
1
+1 con cgroups, + selinux. Aún así, KVM es una mejor alternativa.
GioMac
1

LXC agregó soporte de contenedores no privilegiados de la versión 1.0, y Ubuntu agregó más reglas de apparmor de la versión 14.04 LTS (5 años) que usan kernel 3.13, (LTS agregará soporte para kernels desde utópico ahora, vívido en algunos meses, etc.)

Muchas cosas sobre la seguridad con LXC son VIEJAS ahora (lo mismo se aplica a Docker, que se basa en la tecnología de contenedores de Linux basada en cgroups), al menos me parece que lxc en Ubuntu ahora es una buena alternativa. Me imagino que lo mismo se aplica a Debian.

Yonsy Solis
fuente