On Thu, Apr 14, 2016 at 04:47:02PM +0300, Oleksandr Gavenko wrote: > Уже почитал chroot(2), но от schroot(1) ожидал большего schroot -- это всего лишь удобная обвязка вокруг chroot. Если нужно быстро запустить 'подозрительное' приложение, рекомендую глянуть на firejail. > Мне совсем не ясна изолирующая сила cgroups + namespaces. > > В отличии от openvz у меня есть ощущение что chroot + cgroups + namespaces > создавалось для изоляции а не для безопасности. https://openvz.org/WP/What_are_containers Разделение процессов на группы -- одна из мер обеспечения безопасности. Достаточная или нет -- зависит от задачи. > Т.е. руткиты скорее всего > будут вырываться из контейнера и без виртуализации не обойтись. Руткиты могут "вырываться из контейнера" и при виртуализации: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456 > В итоге только доверенный код можно выполнять в контейнере chroot + cgroups + > namespaces. Гарантию даст только физически отдельная машина. -- WBR, Dmitry
Attachment:
signature.asc
Description: PGP signature