[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Как правильно выполнить chroot?

Hello Oleksandr,

On Thu, 14 Apr 2016 16:47:02 +0300
Oleksandr Gavenko <gavenkoa@gmail.com> wrote:


> Мне совсем не ясна изолирующая сила cgroups + namespaces.
> 
> В отличии от openvz у меня есть ощущение что chroot + cgroups +
> namespaces создавалось для изоляции а не для безопасности. Т.е.
> руткиты скорее всего будут вырываться из контейнера и без
> виртуализации не обойтись.
> 
> В итоге только доверенный код можно выполнять в контейнере chroot +
> cgroups + namespaces.
chroot тут не к месту, он не нужен если есть cgroups.

lxc и openvz (и еще несколько инструментов, например yandex-porto) это
всего лишь инструменты, создающие контейнеры силами cgroups и namespace,
реализованными в ядре. При чем максимальная степень изоляции контейнера
у них одинаковая. И механизмы ядра они используют (почти) одинаковые.

-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: gq@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1
Reply to: