LXD, segurança de contêineres LXC

1

Eu só quero saber que os containers Linux (LXD) fornecem segurança?

Tal que, se no container for infectado por um vírus, isso afetará todo o sistema (kernel + outros containers) ou afetará apenas aquele container?

    
por Bashar 04.03.2016 / 21:07

2 respostas

0

Como em todos os pacotes, o LXC teve problemas de segurança, consulte Onde estão os contêineres do lxc? limites?

e link

Existem vulnerabilidades relatadas com alguma regularidade - link

Basicamente, em um nut shell, como o LXC usa o kernel do host, qualquer vulnerabilidade do kernel também existirá no LXC.

IMHO você deve confinar seus recipientes com apparmor. link

Caso contrário, IMHO, sua pergunta é bastante ampla.

    
por Panther 04.03.2016 / 21:49
0

Isso afetará apenas o contêiner, pois o contêiner será executado com seus próprios namespaces:

  • Espaço de nomes do PID

  • Montar namespace

  • Espaço de nomes do IPC

  • Espaço de nomes de rede

  • Espaço de nomes UTS

  • Espaço de nomes do usuário

A menos que uma vulnerabilidade tenha a capacidade de romper esse limite de namespace para entrar no sistema host, ela não afetará o sistema host de nenhuma maneira.

Observe que, no passado, várias vulnerabilidades foram descobertas em lxc , portanto, você deve procurar por CVEs lxc regularmente para estar no lado mais seguro.

Além disso, como uma camada extra de segurança lxc usa apparmor para o confinamento de recursos, os perfis relevantes do AppArmor são definidos em /etc/apparmor.d/lxc/ .

    
por heemayl 04.03.2016 / 21:15