我正在开发一个嵌入式平台,我有一个处理敏感数据的重要应用程序。我想从其他应用程序保护此应用程序。为此我想出了容器。
我在Linux PC上使用LXC设置了一个容器。然后我在容器中运行一个应用程序。从容器中,我无法访问或查看在主机中运行的任何应用程序,但反过来是可能的(我可以从主机访问容器中的应用程序)。有没有办法将容器与主机隔离?有没有其他选择。
答案 0 :(得分:2)
如果有人可以访问主机,则可以访问其中运行的容器。
您可以做的是安装最少的主机,除了Docker之外没有其他服务运行,并将所有其他服务分配到容器中,使您的应用容器与其他服务隔离。
答案 1 :(得分:1)
有没有办法将容器与主机隔离?
不好意思。如果要阻止其他应用程序访问包含的应用程序中的数据,那么其他应用程序必须是要包含的应用程序。管理程序将始终通过所有包含的应用程序完全访问,因为它需要这样做才能完成其工作。
答案 2 :(得分:0)
你可以做两件事。更好的方法是以不同的用户身份运行您的应用,并且不允许您的主帐户访问额外用户的文件夹和文件。第二种方法是将整个系统复制到子文件夹并使用chroot,但这很难设置并且可能过度。