Virtualização leve no Linux com isolamento do usuário

8

Quais tecnologias de virtualização Linux-on-Linux fornecem isolamento do usuário? Especificamente, eu quero que o root na máquina virtual não tenha nenhum privilégio no host.

Este não foi o caso de LXC , mas era um objetivo de longo prazo. O isolamento de raiz está disponível em versões recentes? Se sim, qual?

Além do LXC, qual é o status do isolamento de raiz para OpenVZ, VServer e qualquer outro concorrente?

    
por Gilles 24.12.2011 / 17:23

1 resposta

4

A maioria das soluções de virtualização "leves" são mais ou menos baseadas na ideia chroot - com processos ocultos do "mestre". Eu não vi nenhum CERT sobre problemas lá, mas isso não parece ser o que você está procurando.

Uma abordagem de hipervisor pode ser mais a direção que você está procurando - mas eu não consideraria isso como "leve" (também um PV XEN DomU é bastante rápido). Estritamente falando, o Dom0 não inicia o DomU - ele diz ao Hypervisor para fazer isso - mas tem CERTs sobre escalação de privilégios (VMWare ESX e XEN). Eu não sei sobre o Hyper-V embora.

Para um melhor isolamento dos direitos do usuário - onde há um processo de espaço de usuário gerando uma VM "isolada", há o VirtualBox - mas novamente - não leve. Isso é virtualização completa, mas as VMs podem ser iniciadas como usuário "normal". O usuário tem que ter acesso ao disco subjacente - e se você quiser / precisar - usb-devices.

Além disso, há um módulo do kernel para o material de rede, que parece funcionar muito bem (usando o DKMS).

    
por 26.12.2011 / 22:22