我在Debian手册上发现了一些关于LXC的隔离限制。
这些限制是关于:
对于内存隔离和文件系统,它似乎不是一个问题,因为它可以配置容器来隔离它们。但有一种方法可以保护内核足以确保不受信任的用户不能破坏内核并且无法读取消息内核吗?
如果有可能,这个受限用户是否会限制IaaS?或者使用真正的虚拟化或半虚拟化提供IaaS解决方案不是更好吗?
答案 0 :(得分:1)
所有Linux容器仍在一个内核下运行。如果所述内核遭到破坏,并且由于该内核在最特权的硬件模式下运行(x86为0),它可能会影响每个运行的容器。使用传统的硬件虚拟化,即使一个客户机内核遭到破坏,虚拟机管理程序也基本上存在于另一个保护环(同样是x86术语)中,以隔离虚拟客户机。当然,假设其实现中存在错误,可能会破坏虚拟机管理程序,但是破坏虚拟机不会直接影响其他来宾。
受影响的访客还可以通过(虚拟化)网络间接影响其他访客,即发送恶意消息,但这类似于网络中的一台计算机遭到入侵并对另一台计算机执行相同操作,而无需虚拟化。此外,受损客户可能会开始通过微架构元素影响其他机器的性能,例如:颠覆缓存,或使用所述微架构元素作为旁道攻击,以查看有关其他虚拟机的一些信息。