lxc in Debian wheezy "verwendbar"?

25/07/2013 - 03:19 von Peter Mairhofer | Report spam
Hi,

Die Frage wurde teilweise schon in einem anderen Thread begonnen, ich
erlaube mir, sie als separate Frage zu behandeln.

Ich habe gelesen das sicherheitstechnisch lxc eine Katastrophe sein
soll, weil alle Container /proc teilen (die Prozesse des gesamten
Systems sehen), Zugriff auf sysrq haben (Host neu starten) und sogar
Zugriff auf kmem bieten.

Wenn dem wirklich so ist, waere das ja kaum praktisch verwendbar (als
typischer OpenVZ Ersatz).

Trifft das noch zu, insb. zur Implementierung in Debian wheezy oder ist
das ein Relikt aus alten Versionen?

LG
Peter
 

Lesen sie die antworten

#1 Marc Haber
25/07/2013 - 12:14 | Warnen spam
Peter Mairhofer wrote:
Trifft das noch zu, insb. zur Implementierung in Debian wheezy oder ist
das ein Relikt aus alten Versionen?



Ich habe mich ewig nicht mehr mit lxc beschàftigt, damals war da aber
eher ein "default allow" Ansatz. Sprich, Du musstest alles
wegkonfigurieren, was Du nicht im Container haben wolltest. Das finde
ich problematisch, weil man sich dann _sehr_ gut auskennen muss um
wirklich alles unerwünschte abzuschalten.

Die Defaultkonfiguration hatte ich damals als "unbrauchbar"
eingestuft, da hat schon das Starten eines init gereicht um den Host
rebootreif zu schießen, weil das normale init /dev putzt und sich das
dank bind-mount in den Host durchgeschlagen hat.

Man hat mir damals gesagt, es war ein Fehler, ein vorher auf Blech
laufendes komplettes Debian 1:1 in einen Container schieben zu wollen.

Ich weiß nicht, ob das heute noch so ist.

Grüße
Marc
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Ähnliche fragen