Suspect121 53 Zgłoś post Napisano Czerwiec 17, 2016 (edytowany) Chciałbym poruszyć temat bezpieczeństwa wirtualizacji opartej o kontenerach LXC. Zastanawiam się nad jej wdrożeniem zamiast OpenVZ ze względu na to, że nie zapowiada się aby OpenVZ w najbliższym czasie przeszedł na kernel 3.x. Czytałem w kilku artykułach o problemach dotyczących bezpieczeństwa tej metody wirtualizacji lecz wszystkie były sprzed kilku lat a zapewne do dnia dzisiejszego sporo się zmieniło w tej kwestii. Proxmox zrezygnował OpenVZ na rzecz LXC lecz osobiście nie chciałbym instalować Proxmoxa a jedynie samo LXC bez jego wsparcia. Nie jestem więc pewien czy Proxmox nie ma żadnych łatek ze swojej strony w celu podniesienia bezpieczeństwa działania LXC. Tym samym nie jestem pewien czy instalując samo LXC mogę tworzyć bezpieczne kontenery. Zdaję sobie sprawę z tego, że bezpieczeństwo to pojęcie względne i nic nie gwarantuje 100% bezpieczeństwa. Kieruję więc do Was pytanie, czy eksperymentowaliście już z LXC? Jak sprawdza się w praktyce? Znane są jakieś poważne luki bezpieczeństwa z ostatniego czasu? Edytowano Czerwiec 17, 2016 przez Suspect121 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Fizyda 34 Zgłoś post Napisano Czerwiec 17, 2016 (edytowany) Tylko Ubuntu wspiera wszystkie łatki i fix'y by wszystko poprawnie działało w LXC. Konfiguruję je na Debianie Jessie i jest z nimi sporo problemów, bez większych problemów uruchamiają się i działają ale tylko na root, co nie jest bezpieczne. Możesz zrobić nieuprzywilejowany kontener na koncie root, ale działa to tylko na wersji z repo jessie-backports. Zupełnie nie działają kontenery nieuprzywilejowane na innym użytkowniku niż root. Cały czas miałem problem by taki kontener uruchomić, używałem nawet wersji LXC z Stretch i nic to nie dawało. Są one fajne i lekkie, ale początkowo stwarzają masę problemów, zwłaszcza te nieuprzywilejowane. Jeśli masz siłę bawić się z nimi i w nie wgryzać to myślę że warto, ja się bawię. Jak stawiasz je na Ubuntu to nie masz żadnych problemów. Fakt sporo problemów z nieuprzywilejowanymi na debianie da się rozwiązać różnymi sposobami, ale ja się poddałem bo co rozwiązałem jakiś problem to pojawiał się inny. Na Debianie 8 da się w miarę bezproblemowo, a co tam bezproblemowo uruchamiać kontenery privileged (na root) i semi-unprivileged (na root ale w innym namespace), nie znalazłem sposobu na uruchomienie kontenerów unprivileged na innym użytkowniku. Szczerze mówiąc nie wiem czy bawiłbym się w te ostatnie zwłaszcza, że kontenery są "moje" dlatego, że mają one lekki problem z auto startem, który po prostu nie działa nawet na ubuntu. Żeby startowały one wraz z systemem hosta, potrzebne są dodatkowe skrypty, mnie na dzień dzisiejszy zadowala rozwiązanie semi-unprivileged, liczę zresztą że w kolejnych wersjach debiana problemy te zostaną rozwiązane. PS. Nie bawiłem się jeszcze tylko cgrupami, więc nie wiem jak to będzie jeszcze wyglądało. Edytowano Czerwiec 17, 2016 przez Fizyda (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Bartosz Z 236 Zgłoś post Napisano Czerwiec 17, 2016 Nie widzę najmniejszych problemów z LXC na Proxmoxie (Dębian + jajko z Ubuntu) O problemach z bezpieczeństwem nie słyszałem. Udostępnij ten post Link to postu Udostępnij na innych stronach
lvlup.pro 9 Zgłoś post Napisano Czerwiec 17, 2016 Też chciałbym dokonać migracji z OpenVZ na LXC dla moich klientów ale póki co nie jest to jeszcze gotowe do produkcji jak dla mnie. Istotne są tu nieuprzywilejowane kontenery a wygląda na to że póki co jest to tylko wersja poglądowa i nie jest to ustawienie domyślne https://forum.proxmox.com/threads/unprivileged-containers.26148/ Nie należy przydzielać dostępu osobom trzecim na kontenerach na prawach root Creating privileged containers Privileged containers are containers created by root and running as root. Depending on the Linux distribution, they may be protected by some capability dropping, apparmor profiles, selinux context or seccomp policies but ultimately, the processes still run as root and so you should never give access to root inside a privileged container to an untrusted party. https://linuxcontainers.org/lxc/getting-started/ Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Czerwiec 18, 2016 A tak działa u mnie LXC Udostępnij ten post Link to postu Udostępnij na innych stronach
lvlup.pro 9 Zgłoś post Napisano Czerwiec 18, 2016 A tak działa u mnie LXC To widok htop z kontenera? Czyżby można było naruszać limit przydzielonych zasobów? Mógłbyś podać więcej szczegółów ? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Czerwiec 18, 2016 (edytowany) Właśnie zauważyłem to dzisiaj. VMke wyłączyłem, ale sprawdzę Edit: Nie jestem pewien czy to nie przez "overselling" bo serwerowi powoli zaczyna brakować ramu. Ponad 3GB zajęte z 4GB dostępnego Edit #2: 309/256 MB [root@ss ~]# free -m total used free shared buff/cache available Mem: 256 18014398509481156 220 453 864 220 Swap: 256 0 256 Edytowano Czerwiec 18, 2016 przez Kamikadze (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Syndrom 95 Zgłoś post Napisano Czerwiec 18, 2016 Z lxc nie ma najmniejszych problemów na Debian8, do tego limity ram/cpu/io działają bez zarzutu Udostępnij ten post Link to postu Udostępnij na innych stronach
bybunny 540 Zgłoś post Napisano Czerwiec 18, 2016 Działa na debian 8 również potwierdzam bo migrowaliśmy kilka usług do LXC. Niemniej jednak poczekał bym na wdrożenie gdy do usługi mają mieć dostęp osoby trzecie czyli pod typowe zastosowanie klienci = VPS Udostępnij ten post Link to postu Udostępnij na innych stronach
