LXC와 OpenVZ에 대한 기사를 읽고 있었는데 최근 업데이트에서 이 문제가 해결되었는지 궁금합니다.
OpenVZ는 여기서 훌륭한 작업을 수행하지만 LXC에는 여전히 문제가 있습니다. AppArmor가 활성화된 경우에도 Ubuntu에서는 게스트에서 dmesg에 계속 액세스할 수 있고 /proc/kcore 및 /proc/sysrq-trigger에 계속 액세스할 수 있으므로 게스트 VM의 루트 사용자가 호스트를 쉽게 재부팅할 수 있습니다. Ubuntu 버전 13.04에 대한 개선이 계획되어 있습니다.
답변1
를 사용하면 호스트 루트 사용자에 대한 액세스를 echo 1 > /proc/sys/kernel/dmesg_restrict제한할 수 있습니다 . dmesg다른 사용자(LXC의 루트 사용자 포함)는 액세스할 수 없습니다.
답변2
/proc/kcore에 대한 액세스를 비활성화하려면:
lxc.cap.drop = sys_rawio
dmesg에 대한 액세스를 비활성화하려면 lxc.seccomp다음 옵션을 사용하여 다음 파일을 로드하십시오.
2 블랙리스트 [모두] 시스템 로그 오류 번호 1
LXC-1.0.6, 커널 4.3.0에서 잘 실행됩니다.