Ist LXC sicher genug für VPS-Hosting?

8

Im Moment verwende ich Linux VServer für VPS-Hosting. Es fehlen jedoch einige Funktionen, die ich benötige (z. B. Virtualisierung der CPU-Nutzung, Kontingentunterstützung für Gäste usw.). Daher denke ich darüber nach, zu OpenVZ oder direkt zu LXC zu wechseln. Ich habe irgendwo gelesen, dass LXC noch nicht als sicher gilt (z. B. http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS ) - stimmt das noch? Da ich die Personen, die die Gäste leiten, nicht kenne, muss ich mich wirklich um die Sicherheit kümmern.

Gucki
quelle
Es gab (gibt?) auch Probleme mit der / proc-Filterung - siehe bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 "lxc container kann Host-Maschine ausschalten"
sendmoreinfo
Nicht gerade eine Antwort auf Ihre Frage, aber haben Sie überlegt, einen Hypervisor zu verwenden? z.B. Xen oder KVM
Luke404
Xen und kvm haben einen viel höheren Overhead und damit eine geringere Leistung. Ich würde einen Hypervisor nur verwenden, wenn ich einen benutzerdefinierten Kernel in einem Gast, einem anderen Host / Gast-Betriebssystem oder anderen "speziellen Anforderungen" benötige.
Gucki

Antworten:

4

Nach bestem Wissen zum Zeitpunkt dieses Schreibens gab es immer noch kritische Probleme mit der / proc-Filterung . Sie sollten in Linux Kernel 3.6 oder höher behandelt werden.

Da ich mit dem gleichen Problem wie Sie konfrontiert bin, habe ich einige Untersuchungen durchgeführt und bin noch nicht davon überzeugt, dass LXC eine Alternative zu Linux VServer ist .

Wenn Sie nicht zu LXC wechseln möchten, sehen Sie sich die cgroup-Unterstützung von Linux Vserver an, die auf demselben Code wie LXC basiert und möglicherweise eine Option für Ihr Setup ist.

tex
quelle
1
+1 mit cgroups, + selinux. Trotzdem ist KVM eine bessere Alternative.
GioMac
1

LXC fügte die Unterstützung für nicht privilegierte Container ab Version 1.0 hinzu, und Ubuntu fügte ab Version 14.04 LTS (5 Jahre) weitere Apparmor-Regeln hinzu, die den 3.13-Kernel verwenden.

Viele Dinge über die Sicherheit mit LXC sind jetzt ALT (das gleiche gilt für Docker, das auf Linux-Container-Technologie basiert, die auf cgroups basiert). Zumindest scheint mir lxc unter Ubuntu jetzt eine gute Alternative zu sein. Ich stelle mir vor, dass dies auch für Debian gilt.

Yonsy Solis
quelle