哪些 Linux-on-Linux 虚拟化技术提供用户隔离?具体来说,我希望虚拟机中的 root 对主机没有任何权限。
这LXC 的情况并非如此,但这是一个长期目标。最新版本是否提供根隔离?如果有,是哪一个?
除了 LXC 之外,OpenVZ、VServer 和其他竞争者的根隔离状态如何?
答案1
大多数“轻量级”虚拟化解决方案或多或少都基于 chroot 思想 - 具有来自“主”的隐藏进程。我没有看到任何有关那里问题的 CERT,但这似乎不是您正在寻找的内容。
虚拟机管理程序方法可能更符合您正在寻找的方向 - 但我不会将其视为“轻量级”(PV XEN DomU 也非常快)。严格来说,Dom0 不会启动 DomU - 它告诉虚拟机管理程序这样做 - 但存在有关权限升级的 CERT(VMWare ESX 和 XEN)。不过我不知道 Hyper-V。
为了更好地隔离用户权限 - 当用户空间进程生成“隔离的”虚拟机时,有 VirtualBox - 但同样 - 不是轻量级的。这是完全虚拟化,但虚拟机可以作为“普通”用户启动。用户必须有权访问底层磁盘 - 如果您想要/需要 - USB 设备。
除此之外,还有一个用于网络功能的内核模块,它似乎工作得很好(使用 DKMS)。