Hello Oleksandr, On Thu, 14 Apr 2016 16:47:02 +0300 Oleksandr Gavenko <gaven...@gmail.com> wrote:
> Мне совсем не ясна изолирующая сила cgroups + namespaces. > > В отличии от openvz у меня есть ощущение что chroot + cgroups + > namespaces создавалось для изоляции а не для безопасности. Т.е. > руткиты скорее всего будут вырываться из контейнера и без > виртуализации не обойтись. > > В итоге только доверенный код можно выполнять в контейнере chroot + > cgroups + namespaces. chroot тут не к месту, он не нужен если есть cgroups. lxc и openvz (и еще несколько инструментов, например yandex-porto) это всего лишь инструменты, создающие контейнеры силами cgroups и namespace, реализованными в ядре. При чем максимальная степень изоляции контейнера у них одинаковая. И механизмы ядра они используют (почти) одинаковые. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1