Korumalı alan ortamı olarak LXC kapları

9

Şu anda güvenli bir sanal alanda güvenilmeyen programları (öğrenci ödevleri) değerlendiren bir projeye başlıyorum. Ana fikir LXC kapsayıcılarını yönetmek için lxc-utils etrafında GlassFish ve Java sarıcı için bir web uygulaması oluşturmaktır. Bir bekleme programları kuyruğuna sahip olacak ve Java sarıcısı, her programa bir (kullanılmayan) konteyner atayarak sabit sayıda LXC kapsayıcısını koruyacaktır.

Ana bilgisayar sistemini korumak için her kap SELinux ile sabitlenmelidir.

Benim sorum şu: Bir sanal alan ortamı için böyle bir mekanizma oluşturmak iyi bir fikir mi, yoksa bu soruna daha uygun bir çözüm var mı? Öğrencinin yaratıcılığına karşı hafif ve güvenli olmalıdır.

security  selinux  lxc  sandbox  container 
İzahatlar
kaynak

Yanıtlar:

6

En güvenli sanallaştırma çözümü olmadığı için neden LXC'yi seçtiğinizi yazmadınız. Ben KVM / XEN ve ayrıca LXC ağır kullanıcısıyım ve bu güvenlik söz konusu olduğunda asla Linux kapları ile gitmek (LXC / OpenVZ / VServer olursa olsun) söyleyebilirim. KVM / XEN ile daha kolay (ve daha güvenilir).

Performans veya donanım gereksinimleri ile ilgili ise Tamam - LXC ile deneyebilirsiniz, ancak izlemeniz gereken bazı kurallar vardır:

  • libvirt, SELinux kullanırken (LXC_driver sayesinde) konteynerlerin sıkıca kapatılmasını sağlar - sadece RHEL / Centos / Fedora kasası olup olmadığından emin değilim (bu kadar Ubuntu / Debian kullanmıyorum) https://www.redhat.com/archives /libvir - list/2012 - Ocak / msg01006.html - SELinux ile devam etmek iyi bir fikir (bence bu gibi durumlarda "olmalı")
  • Misafirlerinizin ana makinenizi dondurmaması veya diğer kapları etkilememesi için katı grup kuralları ayarlayın
  • LVM tabanlı kaplarla gitmeyi tercih ederim - her zaman bir "güvenlik" katmanı daha var
  • Ağ çözümü ve mimarisini düşünün. Bu kapların birbirleriyle iletişim kurması gerekiyor mu?

Okuma ile başlayın bu hala oldukça eski, ama - - çok bilgi var var. Ve ayrıca - kullanıcı ad alanlarıyla tanışın

Ve tüm bunlardan sonra tekrar düşünün - LXC güvenliği ile oynamak için gerçekten bu kadar zamanınız var mı? KVM çok daha basit ...

Maciej Lasyk
kaynak
Her şeyden önce, cevap için teşekkürler. LXC'yi seçiyorum çünkü hafif bir şeye ihtiyacım var ve KVM içinde çalışacak. KVM'yi KVM içinde çalıştırmak mümkün mü?
eXPi
1

Güvenilmeyen programları çalıştırmak için Linux ad alanları hala en iyi çözümdür. Kurulumu KVM'den daha kolaydır ve daha az kaynak gerektirir. LXC'yi deneyebilirsiniz, ancak LXC, tam Linux dağıtım görüntülerini çalıştırmak için daha genel bir sanal alan olarak oluşturulmuştur. Diğer iki Linux ad alanı sanal alanı akla geliyor:

  • Şu anda Google Chrome / Chromium ile dağıtılan Google Chrome korumalı alanı
  • Firejail , Mozilla Firerfox ve diğer GUI programlarını çalıştırmak için tasarlanmış bir güvenlik sanal alanıdır.
netblue
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.