Tidak peduli nama mewah yang digunakan di sini, keduanya adalah solusi untuk masalah tertentu: Solusi pemisahan yang lebih baik daripada chroot Unix klasik . Virtualisasi tingkat sistem operasi, wadah, zona, atau bahkan "chroot with steroids" adalah nama atau judul komersial yang mendefinisikan konsep pemisahan ruang pengguna yang sama, tetapi dengan fitur yang berbeda.
Chroot diperkenalkan pada 18 Maret 1982, berbulan-bulan sebelum rilis 4.2 BSD , sebagai alat untuk menguji instalasi dan membangun sistem, tetapi hari ini masih memiliki kekurangan. Karena tujuan pertama chroot adalah hanya untuk menyediakan jalur root baru , aspek-aspek lain dari sistem yang perlu diisolasi atau dikendalikan terungkap (jaringan, tampilan proses, I / O throughput). Di sinilah wadah pertama (virtualisasi tingkat Pengguna) muncul.
Kedua teknologi (FreeBSD Jails dan LXC) memanfaatkan isolasi userspace untuk memberikan lapisan keamanan lain. Kompartementalisasi ini akan memastikan bahwa proses yang ditentukan hanya akan berkomunikasi dengan proses lain dalam wadah yang sama pada host yang sama, dan jika menggunakan sumber daya jaringan apa pun untuk mencapai komunikasi "dunia luar", semua akan diteruskan ke antarmuka / saluran yang ditetapkan yang digunakan wadah ini. telah.
fitur
Penjara FreeBSD:
- Dianggap sebagai teknologi yang stabil, karena merupakan fitur di dalam FreeBSD sejak 4.0;
- Dibutuhkan yang terbaik dari sistem file ZFS pada titik di mana Anda bisa mengkloning penjara dan membuat template penjara untuk dengan mudah menyebarkan lebih banyak penjara. Beberapa kegilaan ZFS ;
- Didokumentasikan dengan baik , dan berkembang ;
- Hierarchical Jails memungkinkan Anda membuat penjara di dalam penjara (kita harus masuk lebih dalam!). Gabungkan dengan
allow.mount.zfsuntuk mencapai lebih banyak kekuatan, dan variabel-variabel lain seperti children.maxmemang mendefinisikan max child jails.
- rctl (8) akan menangani batas sumber daya penjara (memori, CPU, disk, ...);
- Penjara FreeBSD menangani ruang pengguna Linux ;
- Dengan isolasi jaringan
vnet, memungkinkan setiap penjara memiliki tumpukan jaringan, antarmuka, pengalamatan dan tabel perutean sendiri;
nullfs untuk membantu menautkan folder ke folder yang terletak di server asli ke dalam penjara;- utilitas ezjail untuk membantu penyebaran massal dan pengelolaan penjara;
- Banyak tunables kernel (
sysctl). security.jail.allow.*parameter akan membatasi tindakan pengguna root penjara itu.
- Mungkin, penjara FreeBSD akan memperpanjang beberapa fitur proyek VPS seperti migrasi langsung dalam waktu dekat.
- Ada beberapa upaya integrasi ZFS dan Docker berjalan. Masih eksperimental.
- FreeBSD 12 mendukung bhyve di dalam penjara dan pf di dalam penjara, menciptakan isolasi lebih lanjut untuk alat-alat itu
- Banyak alat menarik dikembangkan selama beberapa tahun terakhir. Beberapa dari mereka diindeks pada posting blog ini .
- Alternatif: Proyek VPS FreeBSD
Linux Containers (LXC):
- Teknologi "dalam kernel" baru tetapi didukung oleh teknologi besar (khususnya Canonical);
- Kontainer yang tidak terjangkau mulai dari LXC 1.0, membuat langkah besar ke dalam keamanan di dalam kontainer;
- Pemetaan UID dan GID di dalam kontainer;
- Kernel namespaces, untuk melakukan pemisahan IPC, mount, pid, jaringan dan pengguna. Ruang nama ini dapat ditangani dengan cara terpisah, di mana proses yang menggunakan ruang nama jaringan yang berbeda tidak perlu diisolasi pada aspek lain seperti penyimpanan;
- Kontrol Grup (cgroups) untuk mengelola sumber daya dan mengelompokkannya. CGManager adalah pria untuk mencapai itu.
- Apparmor / SELinux profil dan kemampuan Kernel untuk menegakkan lebih baik fitur Kernel diakses oleh kontainer. Seccomp juga tersedia pada wadah lxc untuk memfilter panggilan sistem. Aspek keamanan lainnya di sini .
Fungsionalitas migrasi langsung sedang dikembangkan. Sangat sulit untuk mengatakan kapan akan siap untuk digunakan produksi, karena buruh pelabuhan / lxc harus berurusan dengan proses userspace jeda, snapshot, migrasi dan konsolidasi - ref1 , ref2 .Migrasi langsung berfungsi dengan wadah dasar (tidak ada perangkat yang tidak melewati layanan jaringan yang kompleks atau konfigurasi penyimpanan khusus).- Binding API untuk mengaktifkan pengembangan di python3 dan 2, lua, Go, Ruby dan Haskell
- Area "Apa yang baru" terpusat. Cukup berguna setiap kali Anda perlu memeriksa apakah ada bug yang diperbaiki atau fitur baru dikomit. Berikut .
- Alternatif yang menarik bisa lxd , yang di bawah kap bekerja dengan lxc tetapi, ia memiliki beberapa fitur bagus seperti api REST, integrasi OpenStack, dll.
- Hal lain yang menarik adalah bahwa Ubuntu tampaknya mengirim zfs sebagai sistem file default untuk kontainer pada 16.04 . Untuk menjaga agar proyek tetap selaras, lxd meluncurkan versi 2.0, dan beberapa fitur terkait dengan zfs .
- Alternatif : OpenVZ , Docker
- Docker . Perhatikan di sini bahwa Docker menggunakan ruang nama, grup membuat isolasi "per aplikasi" / "per perangkat lunak". Perbedaan utama di sini . Sementara LXC membuat wadah dengan banyak proses, Docker mengurangi wadah sebanyak mungkin untuk satu proses dan kemudian mengelolanya melalui Docker.
- Upaya mengintegrasikan Docker dengan SELinux dan mengurangi kemampuan di dalam wadah agar lebih aman - Docker dan SELinux, Dan Walsh
- Apa perbedaan antara Docker, LXD, dan LXC
Docker tidak lagi menggunakan lxc. Mereka sekarang memiliki lib khusus yang disebut libcontainer yang menangani integrasi dengan namespace Kernel tingkat rendah dan fitur cgroup secara langsung.
Baik teknologi adalah obat mujarab keamanan, tetapi keduanya adalah cara yang cukup baik untuk mengisolasi lingkungan yang tidak memerlukan Virtualisasi Penuh karena infrastruktur sistem operasi campuran. Keamanan akan muncul setelah banyak pembacaan dokumentasi dan implementasi merdu kernel, MAC dan isolasi yang ditawarkan oleh OS-Level tersebut kepada Anda.
Lihat juga: