LXC est-il suffisamment sécurisé pour l'hébergement VPS?


8

En ce moment, j'utilise Linux VServer pour l'hébergement VPS. Mais il manque certaines fonctionnalités dont j'ai besoin (par exemple, virtualisation de l'utilisation du processeur, prise en charge des quotas pour les invités, etc.), donc je pense à passer à OpenVZ ou directement à LXC. J'ai lu quelque part que LXC n'est pas encore considéré comme sécurisé (ex http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS ) - est-ce toujours vrai? Comme je ne connais pas les personnes qui gèrent les invités, je dois vraiment veiller à la sécurité.


il y a eu (il y a?) également des problèmes avec le filtrage / proc - voir bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 "Le conteneur lxc peut éteindre la machine hôte"
sendmoreinfo

pas exactement une réponse à votre question, mais avez-vous envisagé d'utiliser un hyperviseur? par exemple. Xen ou KVM
Luke404

Xen et kvm ont des frais généraux beaucoup plus élevés et donc des performances inférieures. Je n'utiliserais un hyperviseur que si j'ai besoin d'un noyau personnalisé dans un invité, d'un système d'exploitation hôte / invité différent ou d'autres "exigences spéciales".
gucki

Réponses:


4

À la meilleure connaissance au moment d'écrire ces lignes, il y avait encore des problèmes critiques avec le filtrage / proc . Ils doivent être traités dans Linux Kernel 3.6 ou version ultérieure.

Comme je suis confronté au même problème que vous, j'ai fait quelques recherches et je ne suis pas encore convaincu que LXC soit une alternative à Linux VServer .

Si vous décidez de ne pas passer à LXC, jetez un œil à la prise en charge de cgroup de Linux Vserver qui est basée sur le même code que LXC et peut être une option pour votre configuration.


1
+1 avec cgroups, + selinux. KVM est toujours une meilleure alternative.
GioMac

1

LXC a ajouté la prise en charge des conteneurs non privilégiés à partir de la version 1.0, et Ubuntu a ajouté plus de règles d'apparmeur à partir de la version 14.04 LTS (5 ans) qui utilisent le noyau 3.13, (LTS ajoutera la prise en charge des noyaux d'utopiques maintenant, vifs dans certains mois, etc.)

beaucoup de choses sur la sécurité avec LXC sont VIEILLES maintenant (la même chose s'applique à Docker, qui est basé sur la technologie de conteneur Linux basée sur cgroups). J'imagine que la même chose s'applique à Debian.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.