Durante años, ahora uso OpenVZ en mi servidor, pero el soporte descontinuado para Debian y Ubuntu, las versiones actuales parecen centrarse en LXC ahora, lo cual no es una mala idea desde el punto de vista cómodo.
Pero ¿qué pasa con la seguridad? Recuerdo que leí una vez que LXC no proporciona el mismo nivel de separación de procesos y contenedores que OpenVZ. Desafortunadamente, ya no puedo encontrar el documento, pero estoy de acuerdo en que puede haber algunos problemas de seguridad al menos en la configuración predeterminada de LXC. Por ejemplo, con un rootfs completamente personalizado que manejé una vez (en una versión anterior de LXC) para cambiar el terminal del host desde un contenedor LXC usando chvt 1
y al presionar Ctrl + C, se reinició mi entorno X11 cuando intenté reproducirlo. hoy. Lo sé, todas las soluciones de contenedores usan el mismo kernel y un hack del kernel puede llevar a una ruptura de contenedores, eso no es lo que pregunto. Pero no debería ser tan fácil influir en el host u otros contenedores desde un contenedor.
¿Cuánta seguridad puedo esperar de OpenVZ y LXC?
Mi servidor expone algunos puertos invitados a Internet, así que realmente me preocupo por este aspecto, pero tengo que tomar una decisión porque las herramientas utilizadas actualmente deben actualizarse. El uso de KVM o similar no es una opción ya que mi servidor tiene una CPU de bajo rendimiento.
PS: Estoy hablando de la implementación real de OpenVZ con vzctl 4.7.2-1. Algunas implementaciones más nuevas de vzctl utilizan técnicas LXC.