コンテナ収容

コンテナ収容

私はLXCとOpenVZに関する記事を読んでいましたが、最近のアップデートでこの問題が解決したのかと思います。

OpenVZはここで素晴らしい仕事をしていますが、LXCにはまだ問題があります。 AppArmorが有効になっていても、Ubuntuはゲストからdmesgに引き続きアクセスでき、/proc/kcoreおよび/proc/sysrq-triggerに引き続きアクセスできるため、ゲストVMのrootユーザーはホストを簡単に再起動できます。 Ubuntuバージョン13.04の改善が計画されています。

源泉:http://www.janoszen.com/2013/01/22/lxc-vs-openvz/

答え1

を使用すると、ホストrootユーザーへのアクセスをecho 1 > /proc/sys/kernel/dmesg_restrict制限できます。dmesg他のユーザー(LXCのrootユーザーを含む)はアクセスできません。

答え2

/proc/kcore へのアクセスを無効にするには:

lxc.cap.drop = sys_rawio

dmesgへのアクセスを無効にするには、次のlxc.seccompオプションを使用して次のファイルをロードします。

2
ブラックリスト
[すべて]
システムログエラー番号1

LXC-1.0.6、カーネル4.3.0でうまく動作します。

関連情報