どのLinux-on-Linux仮想化技術がユーザー分離を提供しますか?特に、仮想マシンのルートにホストマシンに対する権限がないことを望みます。
これLXCの場合はそうではありません。しかし、これは長期的な目標です。最新バージョンはルート分離を提供しますか?それではどれですか?
LXCに加えて、OpenVZ、VServerなどの競合他社のルート分離の状況はどうですか?
答え1
ほとんどの「軽量」仮想化ソリューションは、「メイン」から隠されたプロセスを持つchrootのアイデアにある程度基づいています。そこに問題に関連するCERTはありませんが、あなたが探しているものではないようです。
ハイパーバイザーのアプローチは、あなたが探している方向に適していますが、「軽量」とは思えません(PV XEN DomUも非常に高速です)。厳密に言えば、Dom0はDomUを起動しません(ハイパーバイザーにそうするように指示します)。ただし、特権の昇格に関連する CERT (VMWare ESX および XEN) があります。しかし、Hyper-Vについてはよくわかりません。
ユーザー権限をより効果的に分離するために、ユーザースペースプロセスが「分離された」仮想マシンを作成するときにVirtualBoxがありますが、もう一度軽くはありません。これは完全な仮想化ですが、仮想マシンは「一般」ユーザーとして起動できます。ユーザーは基本ディスク(必要に応じて必要な場合)にUSBデバイスにアクセスできる必要があります。
これに加えて、かなりうまく機能するようなネットワーク機能用のカーネルモジュールがあります(DKMSを使用)。