O LXC é um pouco melhor porque pode executar contêineres como usuários sem permissão . Isso é possível com o systemd-nspawn, mas apenas para cenários em que você precisa apenas de um usuário (em vez de vários), o que pode ser difícil ou menos seguro para vários processos em cenários de contêiner. Se você quiser saber por que docker, lxc e systemd-nspawn não são inerentemente um mecanismo de segurança sólido, leia isto: link . Basicamente, os contêineres ainda têm acesso ao kernel e qualquer exploit de kernel ganha o controle de toda a máquina. Em um kernel monolítico como o Linux, as explorações do kernel não são incomuns.