¿Qué tecnologías de virtualización Linux-on-Linux proporcionan aislamiento al usuario? Específicamente, quiero que la raíz en la máquina virtual no tenga ningún privilegio en el host.
Este no fue el caso de LXC , pero fue un objetivo a largo plazo. ¿El aislamiento raíz está disponible en versiones recientes? Si es así, ¿cuál?
Además de LXC, ¿cuál es el estado del aislamiento de raíz para OpenVZ, VServer y cualquier otro competidor?
linux
users
root
virtualization
Gilles 'SO- deja de ser malvado'
fuente
fuente
Respuestas:
La mayoría de las soluciones de virtualización "ligeras" se basan más o menos en la idea chroot, con procesos ocultos del "maestro". No vi ningún CERT sobre problemas allí, pero esto no parece ser lo que estás buscando.
Un enfoque de hipervisor podría ser más la dirección que está buscando, pero no lo consideraría como "ligero" (también un PV XEN DomU es bastante rápido). Estrictamente hablando, el Dom0 no inicia el DomU, le dice al Hipervisor que lo haga, pero ha habido algunos CERT sobre la escalada de privilegios (VMWare ESX y XEN). Sin embargo, no sé sobre Hyper-V.
Para un mejor aislamiento de los derechos del usuario, donde hay un proceso de espacio de usuario que genera una VM "aislada", está VirtualBox, pero de nuevo, no es liviano. Esto es virtualización completa, pero las máquinas virtuales se pueden iniciar como usuarios "normales". El usuario debe tener acceso al disco subyacente, y si lo desea / necesita, dispositivos usb.
Aparte de eso, hay un módulo de núcleo para las cosas de redes, que parece funcionar bastante bien (usando DKMS).
fuente