我只是想知道 Linux 容器(LXD)是否提供安全性?
如果容器感染了病毒,是否会影响整个系统(内核+其他容器)还是只影响该容器?
答案1
与所有软件包一样,LXC 也存在安全问题,请参阅lxc 容器的安全边界在哪里?
和https://wiki.ubuntu.com/LxcSecurity
有规律地报告了一些漏洞——http://www.ubuntu.com/search?q=LXC+USN
基本上,简而言之,由于 LXC 使用主机内核,因此任何内核漏洞也会存在于 LXC 中。
我认为你应该用 apparmor 来限制你的容器。https://help.ubuntu.com/12.04/serverguide/apparmor.html
否则,恕我直言,你的问题太广泛了。
答案2
它只会影响容器,因为容器将以自己的命名空间运行:
PID 命名空间
挂载命名空间
IPC 命名空间
网络命名空间
UTS 命名空间
用户命名空间
除非漏洞能够突破此命名空间边界进入主机系统,否则它不会以任何方式影响主机系统。
请注意,过去,在 中发现了几个漏洞lxc,因此您应该定期留意lxc相关的 CVE,以确保安全。
此外,作为资源限制的额外安全层lxc用途apparmor,相关的 AppArmor 配置文件在 中定义/etc/apparmor.d/lxc/。