Welche Linux-on-Linux-Virtualisierungstechnologien bieten Benutzerisolation? Insbesondere möchte ich, dass root in der virtuellen Maschine keine Berechtigungen auf dem Host hat.
Dies war bei LXC nicht der Fall , aber ein langfristiges Ziel. Ist die Root-Isolation in neueren Versionen verfügbar? Wenn ja, welche?
Wie ist der Status der Root-Isolation für OpenVZ, VServer und andere Konkurrenten, abgesehen von LXC?
linux
users
root
virtualization
Gilles 'SO - hör auf böse zu sein'
quelle
quelle
Antworten:
Die meisten "leichten" Virtualisierungslösungen basieren mehr oder weniger auf der Chroot-Idee - mit versteckten Prozessen des "Masters". Ich habe dort keine CERTs über Probleme gesehen, aber dies scheint nicht das zu sein, wonach Sie suchen.
Ein Hypervisor-Ansatz könnte eher die Richtung sein, nach der Sie suchen - aber ich würde das nicht als "leicht" betrachten (auch eine PV XEN DomU ist ziemlich schnell). Genau genommen startet Dom0 die DomU nicht - es weist den Hypervisor an, dies zu tun -, aber es gibt CERTs über die Eskalation von Berechtigungen (VMWare ESX und XEN). Ich weiß allerdings nichts über Hyper-V.
Für eine bessere Isolierung der Benutzerrechte - wo ein User-Space-Prozess eine "isolierte" VM erzeugt - gibt es VirtualBox - aber auch hier - nicht leichtgewichtig. Dies ist eine vollständige Virtualisierung, aber die VMs können als "normaler" Benutzer gestartet werden. Der Benutzer muss Zugriff auf die zugrunde liegende Festplatte haben - und wenn Sie möchten / müssen - USB-Geräte.
Abgesehen davon gibt es ein Kernelmodul für das Netzwerkmaterial, das ziemlich gut zu funktionieren scheint (mit DKMS).
quelle