어떤 Linux-on-Linux 가상화 기술이 사용자 격리를 제공합니까? 특히 가상 머신의 루트가 호스트 머신에 대한 권한을 갖지 않기를 원합니다.
이것LXC의 경우는 그렇지 않습니다., 그러나 이는 장기적인 목표입니다. 최신 버전은 루트 격리를 제공합니까? 그렇다면 어느 것입니까?
LXC 외에 OpenVZ, VServer 등 경쟁사의 루트 격리 현황은 어떤가요?
답변1
대부분의 "경량" 가상화 솔루션은 "메인"에서 숨겨진 프로세스를 갖는 chroot 아이디어를 어느 정도 기반으로 합니다. 거기에 문제와 관련된 CERT가 없지만 귀하가 찾고 있는 것이 아닌 것 같습니다.
하이퍼바이저 접근 방식은 귀하가 찾고 있는 방향에 더 부합할 수 있지만 "경량"이라고 생각하지는 않습니다(PV XEN DomU도 매우 빠릅니다). 엄밀히 말하면 Dom0은 DomU를 시작하지 않습니다(하이퍼바이저에게 그렇게 하라고 지시함). 그러나 권한 상승과 관련된 CERT(VMWare ESX 및 XEN)가 있습니다. 하지만 Hyper-V에 대해서는 잘 모릅니다.
사용자 권한을 더 효과적으로 격리하기 위해 사용자 공간 프로세스가 "격리된" 가상 머신을 생성할 때 VirtualBox가 있지만 다시 한번 가볍지는 않습니다. 이는 전체 가상화이지만 가상 머신은 "일반" 사용자로 시작할 수 있습니다. 사용자는 기본 디스크(원하거나 필요한 경우)에 USB 장치에 액세스할 수 있어야 합니다.
이 외에도 꽤 잘 작동하는 것 같은 네트워크 기능용 커널 모듈이 있습니다(DKMS 사용).