Skocz do zawartości
Suspect121

Wirtualizacja LXC

Polecane posty

Chciałbym poruszyć temat bezpieczeństwa wirtualizacji opartej o kontenerach LXC. Zastanawiam się nad jej wdrożeniem zamiast OpenVZ ze względu na to, że nie zapowiada się aby OpenVZ w najbliższym czasie przeszedł na kernel 3.x. Czytałem w kilku artykułach o problemach dotyczących bezpieczeństwa tej metody wirtualizacji lecz wszystkie były sprzed kilku lat a zapewne do dnia dzisiejszego sporo się zmieniło w tej kwestii.

 

Proxmox zrezygnował OpenVZ na rzecz LXC lecz osobiście nie chciałbym instalować Proxmoxa a jedynie samo LXC bez jego wsparcia. Nie jestem więc pewien czy Proxmox nie ma żadnych łatek ze swojej strony w celu podniesienia bezpieczeństwa działania LXC. Tym samym nie jestem pewien czy instalując samo LXC mogę tworzyć bezpieczne kontenery. Zdaję sobie sprawę z tego, że bezpieczeństwo to pojęcie względne i nic nie gwarantuje 100% bezpieczeństwa.

 

Kieruję więc do Was pytanie, czy eksperymentowaliście już z LXC? Jak sprawdza się w praktyce? Znane są jakieś poważne luki bezpieczeństwa z ostatniego czasu?

Edytowano przez Suspect121 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tylko Ubuntu wspiera wszystkie łatki i fix'y by wszystko poprawnie działało w LXC.

 

Konfiguruję je na Debianie Jessie i jest z nimi sporo problemów, bez większych problemów uruchamiają się i działają ale tylko na root, co nie jest bezpieczne.

Możesz zrobić nieuprzywilejowany kontener na koncie root, ale działa to tylko na wersji z repo jessie-backports.

Zupełnie nie działają kontenery nieuprzywilejowane na innym użytkowniku niż root. Cały czas miałem problem by taki kontener uruchomić, używałem nawet wersji LXC z Stretch i nic to nie dawało.

 

Są one fajne i lekkie, ale początkowo stwarzają masę problemów, zwłaszcza te nieuprzywilejowane. Jeśli masz siłę bawić się z nimi i w nie wgryzać to myślę że warto, ja się bawię. Jak stawiasz je na Ubuntu to nie masz żadnych problemów.

 

Fakt sporo problemów z nieuprzywilejowanymi na debianie da się rozwiązać różnymi sposobami, ale ja się poddałem bo co rozwiązałem jakiś problem to pojawiał się inny.

 

Na Debianie 8 da się w miarę bezproblemowo, a co tam bezproblemowo uruchamiać kontenery privileged (na root) i semi-unprivileged (na root ale w innym namespace), nie znalazłem sposobu na uruchomienie kontenerów unprivileged na innym użytkowniku. Szczerze mówiąc nie wiem czy bawiłbym się w te ostatnie zwłaszcza, że kontenery są "moje" dlatego, że mają one lekki problem z auto startem, który po prostu nie działa nawet na ubuntu. Żeby startowały one wraz z systemem hosta, potrzebne są dodatkowe skrypty, mnie na dzień dzisiejszy zadowala rozwiązanie semi-unprivileged, liczę zresztą że w kolejnych wersjach debiana problemy te zostaną rozwiązane.

 

PS. Nie bawiłem się jeszcze tylko cgrupami, więc nie wiem jak to będzie jeszcze wyglądało.

Edytowano przez Fizyda (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie widzę najmniejszych problemów z LXC na Proxmoxie (Dębian + jajko z Ubuntu) ;)

 

O problemach z bezpieczeństwem nie słyszałem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Też chciałbym dokonać migracji z OpenVZ na LXC dla moich klientów ale póki co nie jest to jeszcze gotowe do produkcji jak dla mnie.

 

Istotne są tu nieuprzywilejowane kontenery a wygląda na to że póki co jest to tylko wersja poglądowa i nie jest to ustawienie domyślne

https://forum.proxmox.com/threads/unprivileged-containers.26148/

 

Nie należy przydzielać dostępu osobom trzecim na kontenerach na prawach root

 

 

Creating privileged containers

Privileged containers are containers created by root and running as root.
Depending on the Linux distribution, they may be protected by some capability dropping, apparmor profiles,
selinux context or seccomp policies but ultimately, the processes still run as root and so you should never
give access to root inside a privileged container to an untrusted party.

 

https://linuxcontainers.org/lxc/getting-started/

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A tak działa u mnie LXC :)

 

overselling_5764907c96eb8.png

 

To widok htop z kontenera? Czyżby można było naruszać limit przydzielonych zasobów?

Mógłbyś podać więcej szczegółów ? :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Właśnie zauważyłem to dzisiaj. VMke wyłączyłem, ale sprawdzę :)

 

 

Edit: Nie jestem pewien czy to nie przez "overselling" bo serwerowi powoli zaczyna brakować ramu.

Ponad 3GB zajęte z 4GB dostępnego

 

 

Edit #2:

 

309/256 MB

[root@ss ~]# free -m
              total        used        free      shared  buff/cache   available
Mem:            256 18014398509481156         220         453         864         220
Swap:           256           0         256
Edytowano przez Kamikadze (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Działa na debian 8 również potwierdzam bo migrowaliśmy kilka usług do LXC. Niemniej jednak poczekał bym na wdrożenie gdy do usługi mają mieć dostęp osoby trzecie czyli pod typowe zastosowanie klienci = VPS

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×