Virtualisasi ringan di Linux dengan isolasi pengguna


8

Apa teknologi virtualisasi Linux-on-Linux menyediakan isolasi pengguna? Secara khusus, saya ingin root di mesin virtual tidak memiliki hak istimewa pada host.

Ini bukan kasus untuk LXC , tetapi merupakan tujuan jangka panjang. Apakah isolasi root tersedia dalam versi terbaru? Jika ya, yang mana?

Selain LXC, apa status isolasi root untuk OpenVZ, VServer dan pesaing lainnya?


Apa yang Anda maksud dengan "tidak ada"? Setidaknya perlu ada sistem file umum atau LV / partisi di suatu tempat dan / atau segmen memori untuk kartu grafis.
Nils

@Nils Paling-paling pengguna root di VM harus tidak memiliki hak lebih dari pengguna host yang memanggil VM.
Gilles 'SANGAT berhenti menjadi jahat'

Jawaban:


4

Kebanyakan solusi virtualisasi "ringan" kurang lebih didasarkan pada ide chroot - dengan proses tersembunyi dari "master". Saya tidak melihat CERT tentang masalah di sana, tetapi sepertinya ini bukan yang Anda cari.

Pendekatan Hypervisor mungkin lebih ke arah yang Anda cari - tetapi saya tidak akan menganggapnya sebagai "ringan" (juga PV XEN DomU cukup cepat). Sebenarnya, Dom0 tidak memulai DomU - ini memberi tahu Hypervisor untuk melakukannya - tetapi ada beert CERT tentang peningkatan hak pribadi (VMWare ESX dan XEN). Saya tidak tahu tentang Hyper-V.

Untuk isolasi yang lebih baik dari hak-hak pengguna - di mana ada proses ruang-pengguna yang menghasilkan VM "terisolasi" ada VirtualBox - tapi sekali lagi - tidak ringan. Ini adalah virtualisasi penuh, tetapi VM dapat dimulai sebagai pengguna "normal". Pengguna harus memiliki akses ke disk yang mendasarinya - dan jika Anda ingin / perlu - perangkat-usb.

Selain itu ada modul kernel untuk hal-hal jaringan, yang tampaknya berfungsi dengan baik (menggunakan DKMS).

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.