LXC是否足够安全以进行VPS托管?

8

现在,我正在使用Linux VServer进行VPS托管。但是它缺少一些我需要的功能(例如,cpu使用虚拟化,来宾系统的配额支持等),因此我正在考虑切换到OpenVZ或直接切换到LXC。我在某处阅读过LXC还不被认为是安全的(例如,http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS)-这仍然是真的吗?因为我不知道管理客人的人,所以我真的必须注意安全。

security  linux  openvz  lxc 
古奇
source
还有/ proc过滤问题(请参见?),请参见bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 “ lxc容器可以关闭主机电源”
sendmoreinfo 2012年
不完全是您问题的答案,但是您是否考虑过使用虚拟机监控程序?例如。Xen或KVM
Luke404
Xen和kvm的开销更高,因此性能也更低。仅当我在来宾,不同的主机/来宾操作系统或其他“特殊要求”中需要自定义内核时,才使用管理程序。
gucki 2012年

Answers:

4

就撰写本文时所知,/ proc过滤仍然存在一些关键问题。应该在Linux Kernel 3.6或更高版本中解决它们。

由于我遇到了与您相同的问题,因此我进行了一些调查,但我还不确定LXC是Linux VServer的替代产品

如果您决定不切换到LXC,请查看Linux Vserver对cgroup的支持,该支持基于与LXC相同的代码,并且可以作为设置的选项。

特克斯
source
1
使用cgroup + 1,+ selinux。仍然KVM是更好的选择。
GioMac
1

LXC从1.0版本开始增加了对非特权容器的支持,Ubuntu在使用3.13内核的14.04 LTS版本(5年)中增加了更多的apparmor规则,(LTS现在将从utopic追加对内核的支持,在几个月后会变得生动,等等)

关于LXC安全性的许多事情现在已经过时了(对Docker,基于cgroups的linux容器技术也是如此),至少在我看来,Ubuntu下的lxc现在是一个不错的选择。我想这同样适用于Debian。

扬西·索利斯(Yonsy Solis)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.