O LXC é seguro o suficiente para hospedagem VPS?

8

No momento, estou usando o Linux VServer para hospedagem VPS. Mas faltam algumas funcionalidades necessárias (por exemplo, virtualização de uso da CPU, suporte a cotas para convidados etc.), por isso estou pensando em mudar para o OpenVZ ou diretamente para o LXC. Em algum lugar, li que o LXC ainda não é considerado seguro (ex http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS ) - isso ainda é verdade? Como não conheço as pessoas que administram os convidados, preciso realmente cuidar da segurança.

gucki
fonte
lá estavam (estão?) também problemas com a filtragem / proc - ver bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 "lxc recipiente pode power-off máquina host"
sendmoreinfo
não é exatamente uma resposta para sua pergunta, mas você já pensou em usar um hipervisor? por exemplo. Xen ou KVM
Luke404
Xen e kvm têm uma sobrecarga muito maior e, portanto, um desempenho mais baixo. Eu usaria apenas um hipervisor quando precisar de um kernel personalizado em um convidado, SO host / convidado diferente ou outros "requisitos especiais".
gucki

Respostas:

4

Para o melhor conhecimento no momento da redação deste texto , ainda havia problemas críticos com a filtragem / proc . Eles devem ser abordados no Linux Kernel 3.6 ou posterior.

Como estou enfrentando o mesmo problema que você, investiguei e ainda não estou convencido de que o LXC seja uma alternativa ao Linux VServer .

Se você decidir não mudar para o LXC , consulte o suporte do cgroup ao Linux Vserver, que é baseado no mesmo código do LXC e pode ser uma opção para sua configuração.

tex
fonte
1
+1 com cgroups, + selinux. Ainda assim, o KVM é a melhor alternativa.
GioMac
1

O LXC adicionou suporte a recipientes sem privilégios da versão 1.0, e o Ubuntu anexou mais regras do apparmor a partir da versão 14.04 LTS (5 anos) que usam o kernel 3.13, (o LTS adicionará suporte a kernels do utopic agora, vívido em alguns meses, etc.)

muitas coisas sobre segurança com o LXC são antigas agora (o mesmo se aplica ao Docker, que é baseado na tecnologia de contêiner linux baseado no cgroups) para mim, pelo menos parece que o lxc no Ubuntu agora é uma boa alternativa. Eu imagino que o mesmo se aplique ao Debian.

Yonsy Solis
fonte