我读过许多论坛、博客和文章,比较 OpenVZ、KVM 和 XEN。我多次看到 OpenVZ 的缺点之一是安全性较差。但是,除了 OpenVZ 使用共享内核这一事实之外,我还没有看到关于它如何以及为何安全性较差的解释。
我认为,如果主机因任何一种虚拟化技术而受到攻击,容器就很容易被访问。所以从这个角度来看,它们是相同的。
脱离 OpenVZ 容器并获得主机/其他容器的访问权限是否更容易?
OpenVZ 是否还有其他原因导致其不太安全?
谢谢。
答案1
Openvz 容器使用主节点内核来运行,每个容器没有自己的内核,这在操作系统级别上称为虚拟化,因此,如果主节点内核中存在漏洞,可能会导致黑客破坏主节点并获得对它的访问权限,在其他虚拟化技术(如 kvm 或 xen)中,每个虚拟机都有其内核。
但实际上 openvz 并没有大量利用漏洞获取主节点访问权限的历史。如果我对安全性感兴趣,我更喜欢 kvm 或 xen 或任何完全虚拟化技术。
如果您要使用 openvz,请确保您的内核已更新。