Virtualisasi ringan di Linux dengan isolasi pengguna

Apa teknologi virtualisasi Linux-on-Linux menyediakan isolasi pengguna? Secara khusus, saya ingin root di mesin virtual tidak memiliki hak istimewa pada host.

Ini bukan kasus untuk LXC , tetapi merupakan tujuan jangka panjang. Apakah isolasi root tersedia dalam versi terbaru? Jika ya, yang mana?

Selain LXC, apa status isolasi root untuk OpenVZ, VServer dan pesaing lainnya?

— Gilles 'SANGAT berhenti menjadi jahat'
sumber

Apa yang Anda maksud dengan "tidak ada"? Setidaknya perlu ada sistem file umum atau LV / partisi di suatu tempat dan / atau segmen memori untuk kartu grafis.

— Nils

@Nils Paling-paling pengguna root di VM harus tidak memiliki hak lebih dari pengguna host yang memanggil VM.

— Gilles 'SANGAT berhenti menjadi jahat'

Kebanyakan solusi virtualisasi "ringan" kurang lebih didasarkan pada ide chroot - dengan proses tersembunyi dari "master". Saya tidak melihat CERT tentang masalah di sana, tetapi sepertinya ini bukan yang Anda cari.

Pendekatan Hypervisor mungkin lebih ke arah yang Anda cari - tetapi saya tidak akan menganggapnya sebagai "ringan" (juga PV XEN DomU cukup cepat). Sebenarnya, Dom0 tidak memulai DomU - ini memberi tahu Hypervisor untuk melakukannya - tetapi ada beert CERT tentang peningkatan hak pribadi (VMWare ESX dan XEN). Saya tidak tahu tentang Hyper-V.

Untuk isolasi yang lebih baik dari hak-hak pengguna - di mana ada proses ruang-pengguna yang menghasilkan VM "terisolasi" ada VirtualBox - tapi sekali lagi - tidak ringan. Ini adalah virtualisasi penuh, tetapi VM dapat dimulai sebagai pengguna "normal". Pengguna harus memiliki akses ke disk yang mendasarinya - dan jika Anda ingin / perlu - perangkat-usb.

Selain itu ada modul kernel untuk hal-hal jaringan, yang tampaknya berfungsi dengan baik (menggunakan DKMS).

— Nils
sumber