LXC는 VPS 호스팅을 위해 충분히 안전합니까?

8

지금은 VPS 호스팅에 Linux VServer를 사용하고 있습니다. 그러나 필요한 기능 (예 : CPU 사용량 가상화, 게스트 할당량 지원 등)이 없기 때문에 OpenVZ로 전환하거나 LXC로 직접 전환하는 것을 생각하고 있습니다. 어디 선가 LXC는 안전한 것으로 간주되지 읽기 아직 (예 http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS ) - 이것은 여전히 사실이다? 게스트를 운영하는 사람을 모르기 때문에 보안을 관리해야합니다.

— 구키
소스

/ proc 필터링에도 문제가 있었습니다. bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625를 참조하십시오 . "lxc 컨테이너는 호스트 컴퓨터의 전원을 끌 수 있습니다"

— sendmoreinfo

질문에 대한 정확한 대답은 아니지만 하이퍼 바이저 사용을 고려 했습니까? 예. Xen 또는 KVM

— Luke404

Xen과 kvm은 오버 헤드가 훨씬 높아 성능이 떨어집니다. 게스트, 다른 호스트 / 게스트 OS 또는 기타 "특별 요구 사항"에서 사용자 지정 커널이 필요한 경우에만 하이퍼 바이저를 사용합니다.

— gucki

4

이 글을 쓰는 당시 최고의 지식 으로 / proc 필터링과 관련하여 여전히 중요한 문제가있었습니다 . Linux Kernel 3.6 이상에서 해결해야합니다.

나는 당신과 같은 문제에 직면하고 있기 때문에 조사를 했지만 LXC가 Linux VServer의 대안이라고 아직 확신하지 못합니다 .

LXC로 전환하지 않기로 결정한 경우 LXC와 동일한 코드를 기반으로하는 Linux Vserver의 cgroup 지원을 살펴보고 설정 옵션이 될 수 있습니다.

— 텍사스
소스

1

cgroup과 +1, + selinux 여전히 KVM이 더 나은 대안입니다.

— GioMac

1

LXC는 1.0 버전에서 권한이없는 컨테이너 지원을 추가했으며 Ubuntu는 3.13 커널을 사용하는 릴리스 14.04 LTS (5 년) 이후 더 많은 규칙을 추가했습니다.

LXC의 보안에 대한 많은 것들이 이제 오래되었습니다 (cgroups 기반의 Linux 컨테이너 기술을 기반으로하는 Docker에도 동일하게 적용됩니다). 데비안에서도 마찬가지입니다.

— 연시 솔리스
소스