Docker 与 LXC/systemd-nspawn 的攻击面是否存在显著差异?

Docker 与 LXC/systemd-nspawn 的攻击面是否存在显著差异?

在选择应用程序容器解决方案还是操作系统容器解决方案时,一个决策点是安全性。我对这两者了解不够,无法进行比较和对比。我认为它们是不同的,但其中一个是否比另一个更开放?

答案1

从安全角度来看,我认为 rkt 也值得考虑。

例如 CoreOS 的 有点主观的比较rkt 到替代容器系统。

正如他们指出的那样,docker 现在在后台使用 containerd,并围绕容器的运行提供了一大堆“东西”——我倾向于认为这些额外的东西可能会比更多的准系统(如 containerd)引入更多的攻击面。

您还应该记住,您列出的许多(如果不是全部)解决方案的安全性都通过适当强化的内核(例如 PaX)和系统(例如 seLinux)得到了增强。

相关内容