Você não escreveu porque escolheu o LXC, já que não é a solução de virtualização mais segura. Sou um grande usuário do KVM / XEN e também do LXC, e posso dizer uma coisa que quando se trata de segurança eu nunca uso contêineres Linux (não importa se LXC / OpenVZ / VServer). É apenas mais fácil (e mais confiável) com o KVM / XEN.
Se for sobre desempenho ou requisitos de hardware, então ok - você pode tentar com o LXC, mas existem algumas regras que você deve seguir:
- O libvirt garante o confinamento estrito de contêineres ao usar o SELinux (graças ao LXC_driver) - não tenho certeza se é apenas o caso RHEL / Centos / Fedora (eu não uso muito o Ubuntu / Debian) link - então ir com o SELinux é uma boa idéia (na minha opinião é" preciso ter "em tais circunstâncias)
- Defina regras restritas de cgroups para que seus convidados não façam seu host congelar ou afetar outros contêineres
- Eu preferiria usar contêineres baseados em LVM - é sempre mais uma camada de "segurança"
- Pense na solução e arquitetura de rede. Esses contêineres precisam se comunicar uns com os outros?
Comece lendo este - é bem antigo, mas ainda assim - há muito conhecimento lá. E também - conheça os namespaces de usuário
E depois de tudo isso, pense novamente - você realmente tem muito tempo para brincar com a segurança do LXC? O KVM é muito mais simples ...