1

私はしばらく lxc を使用してきましたが、構成とドキュメントを理解するのが難しく、時々何をすべきかが明確ではなく、新しいバージョンは私のコードに多くの変更を意味します。

schroot を探していたので、lxc を schroot に完全に置き換える方法があるかどうか知りたいですか? _/sbin/init を schroot で実行できますか?_

この投稿を見つけました: http://johnlewis.ie/using-schroot-instead-of-lxc-containers/は、同じchrootで一連のサービスを開始することができますが、最初に実行できるかどうかも確認したいシステム全体。

一部のセキュリティ問題は手動で解決する必要があると思いますが、lxc の文書化されていない魔法の方が好きですが、schroot とlxc の使用にセキュリティ上の欠点はありますか?

lxc コンテナーに (ほぼ) 完全な新しいシステムを入れるという考えは好きですが、schroot だけを使用して取得することは可能ですか?

ありがとう。

4

1 に答える 1

2

Schroot はファイルシステムのみを仮想化します。リソースの使用率、ネットワーク アクセス、シグナルを送信する機能、システムで実行されている他のプロセスを表示する機能などは制限されません。そのため、信頼できないコードがすべてのメモリを使い果たしたり、スパムを送信したり、同じユーザーとして実行されているプロセスを強制終了したりする可能性があります。そこで /sbin/init を実行することはできますが、pid 1 にはならず、init スクリプトはベース OS や他の chroot からのすべてのプロセスを「見る」ことができ、おそらく lxc よりも多くのコード変更が必要になるでしょう。

潜在的に敵対的な (つまり、ネットで提出された) コードを実行したい場合、私は間違いなく LXC を使用します。

于 2013-08-30T03:54:33.600 に答える