Re: Как правильно выполнить chroot?
Hello Oleksandr,
On Thu, 14 Apr 2016 16:47:02 +0300
Oleksandr Gavenko <gavenkoa@gmail.com> wrote:
> Мне совсем не ясна изолирующая сила cgroups + namespaces.
>
> В отличии от openvz у меня есть ощущение что chroot + cgroups +
> namespaces создавалось для изоляции а не для безопасности. Т.е.
> руткиты скорее всего будут вырываться из контейнера и без
> виртуализации не обойтись.
>
> В итоге только доверенный код можно выполнять в контейнере chroot +
> cgroups + namespaces.
chroot тут не к месту, он не нужен если есть cgroups.
lxc и openvz (и еще несколько инструментов, например yandex-porto) это
всего лишь инструменты, создающие контейнеры силами cgroups и namespace,
реализованными в ядре. При чем максимальная степень изоляции контейнера
у них одинаковая. И механизмы ядра они используют (почти) одинаковые.
--
Best regards,
Alexander Gerasiov
Contacts:
e-mail: gq@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov
PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Reply to: