Jaka wirtualizacja? Czy linux-vserver umiera?
Wojciech Błaszkowski
wojciech w blaszkowski.com
Czw, 17 Maj 2018, 22:14:43 CEST
On 05/17/2018 07:37 PM, Marcin Krol wrote:
>> Potem jeszcze dochodzi kernel w kernelu , system w systemie, ..... .
>
> To też dla mnie zaleta. Każde distro ma działać na swoim kernelu. Dla
> mnie działanie różnych distro w ramach jednego kernela jest
> nieakceptowalne. Muszę mieć pełną swobodę wyboru kernela.
Bardzo fajnie, że mamy tu podniesiony ten temat, bo dochodzimy do
momentu warstw izolacji, a przez to bezpieczeństwa całości takiej maszyny.
W modelu pełnej wirtualizacji (QEMU) mamy niezaufany proces uruchomiony
wewnątrz VPS. Jeśli atakujący zdoła przejąć kontrolę nad owym procesem,
będzie mógł atakować kernel przez syscals. Więc w przypadku kontenera,
mamy niezaufany proces gadający z jądrem hosta (!), a w przypadku pełnej
wirtualizacji mamy niezaufany proces vs. jądro guesta + oprogramowanie
wirtualizujące (QEMU) + jądro hosta. Pełna wirtualizacja daje nam
dodatkowe warstwy izolacji, których nie zapewnia nam kontener; czy to
LXC, vserver czy inny docker.
--
Pozdrawiam,
Wojciech Błaszkowski
www.blaszkowski.com, +48.600197207
Więcej informacji o liście pld-users-pl