Apakah LXC cukup aman untuk hosting VPS?


8

Saat ini saya menggunakan Linux VServer untuk hosting VPS. Tapi itu kekurangan beberapa fungsionalitas yang saya butuhkan (mis. Virtualisasi penggunaan cpu, dukungan kuota untuk tamu, dll.) Jadi saya berpikir untuk beralih ke OpenVZ atau langsung ke LXC. Saya di suatu tempat membaca LXC belum dianggap aman (mis. Http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS ) - apakah ini masih benar? Karena saya tidak tahu orang-orang yang menjalankan tamu, saya benar-benar harus menjaga keamanan.


ada (juga?) juga masalah dengan / proc filtering - lihat bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 "kontainer lxc dapat mematikan mesin host"
sendmoreinfo

bukan jawaban yang tepat untuk pertanyaan Anda, tetapi sudahkah Anda mempertimbangkan untuk menggunakan hypervisor? misalnya. Xen or KVM
Luke404

Xen dan kvm memiliki overhead yang jauh lebih tinggi dan dengan demikian kinerja yang lebih rendah. Saya hanya akan menggunakan hypervisor ketika saya membutuhkan kernel khusus di tamu, host lain / os tamu atau "persyaratan khusus" lainnya.
gucki

Jawaban:


4

Untuk pengetahuan terbaik pada saat penulisan ini masih ada masalah kritis dengan / proc filtering . Mereka harus dialamatkan di Linux Kernel 3.6 atau yang lebih baru.

Karena saya menghadapi masalah yang sama seperti Anda, saya telah melakukan beberapa penyelidikan dan saya belum yakin bahwa LXC adalah alternatif untuk Linux VServer .

Jika Anda memutuskan untuk tidak beralih ke LXC, lihat dukungan cgroup dari Linux Vserver yang didasarkan pada kode yang sama dengan LXC dan mungkin merupakan opsi untuk pengaturan Anda.


1
+1 dengan cgroups, + selinux. Tetap KVM adalah alternatif yang lebih baik.
GioMac

1

LXC menambahkan dukungan kontainer tidak privat dari versi 1.0, dan Ubuntu menambahkan lebih banyak aturan apparmor dari rilis 14,04 LTS (5 tahun) yang menggunakan kernel 3,13, (LTS akan menambahkan dukungan untuk kernel dari utopic sekarang, hidup dalam beberapa bulan, dll)

banyak hal tentang keamanan dengan LXC sudah LAMA sekarang (hal yang sama berlaku untuk Docker, yang berbasis di linux container tech yang berbasis di cgroup) bagi saya setidaknya muncul bahwa lxc di bawah Ubuntu sekarang merupakan alternatif yang baik. Saya membayangkan hal yang sama berlaku untuk Debian.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.