目前,我正在使用 Linux VServer 进行 VPS 托管。但它缺少一些我需要的功能(例如 CPU 使用虚拟化、客户配额支持等),所以我正在考虑切换到 OpenVZ 或直接切换到 LXC。我曾在某处读到 LXC 还不被认为是安全的(例如http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS) - 现在还是这样吗?由于我不认识接待客人的人,所以我必须确保安全。
答案1
据撰写本文时所知/proc 过滤仍然存在严重问题. 这些问题应该在 Linux Kernel 3.6 或更高版本中得到解决。
因为我遇到了和你一样的问题,所以我做了一些调查,并且尚不确信 LXC 是 Linux VServer 的替代品。
如果您决定不切换到 LXC看看 Linux Vserver 的 cgroup 支持它基于与 LXC 相同的代码,可能是您的设置的一个选项。
答案2
LXC 从 1.0 版本开始添加了对非特权容器的支持,而 Ubuntu 从使用 3.13 内核的 14.04 LTS(5 年)版本开始附加了更多 apparmor 规则,(LTS 现在将附加对来自 utopic 的内核的支持,几个月后将附加对来自 vibric 的内核的支持,等等)
关于 LXC 安全性的许多东西现在已经过时了(Docker 也是如此,它基于基于 cgroups 的 Linux 容器技术),至少在我看来,Ubuntu 下的 lxc 现在是一个不错的选择。我想 Debian 也是如此。