Eu só quero saber que os containers Linux (LXD) fornecem segurança?
Tal que, se no container for infectado por um vírus, isso afetará todo o sistema (kernel + outros containers) ou afetará apenas aquele container?
Como em todos os pacotes, o LXC teve problemas de segurança, consulte Onde estão os contêineres do lxc? limites?
e link
Existem vulnerabilidades relatadas com alguma regularidade - link
Basicamente, em um nut shell, como o LXC usa o kernel do host, qualquer vulnerabilidade do kernel também existirá no LXC.
IMHO você deve confinar seus recipientes com apparmor. link
Caso contrário, IMHO, sua pergunta é bastante ampla.
Isso afetará apenas o contêiner, pois o contêiner será executado com seus próprios namespaces:
Espaço de nomes do PID
Montar namespace
Espaço de nomes do IPC
Espaço de nomes de rede
Espaço de nomes UTS
Espaço de nomes do usuário
A menos que uma vulnerabilidade tenha a capacidade de romper esse limite de namespace para entrar no sistema host, ela não afetará o sistema host de nenhuma maneira.
Observe que, no passado, várias vulnerabilidades foram descobertas em lxc , portanto, você deve procurar por CVEs lxc regularmente para estar no lado mais seguro.
Além disso, como uma camada extra de segurança lxc usa apparmor para o confinamento de recursos, os perfis relevantes do AppArmor são definidos em /etc/apparmor.d/lxc/ .