On 05/17/2018 07:37 PM, Marcin Krol wrote:
Potem jeszcze dochodzi kernel w kernelu , system w systemie, ..... .
To też dla mnie zaleta. Każde distro ma działać na swoim kernelu. Dla
mnie działanie różnych distro w ramach jednego kernela jest
nieakceptowalne. Muszę mieć pełną swobodę wyboru kernela.
Bardzo fajnie, że mamy tu podniesiony ten temat, bo dochodzimy do
momentu warstw izolacji, a przez to bezpieczeństwa całości takiej maszyny.
W modelu pełnej wirtualizacji (QEMU) mamy niezaufany proces uruchomiony
wewnątrz VPS. Jeśli atakujący zdoła przejąć kontrolę nad owym procesem,
będzie mógł atakować kernel przez syscals. Więc w przypadku kontenera,
mamy niezaufany proces gadający z jądrem hosta (!), a w przypadku pełnej
wirtualizacji mamy niezaufany proces vs. jądro guesta + oprogramowanie
wirtualizujące (QEMU) + jądro hosta. Pełna wirtualizacja daje nam
dodatkowe warstwy izolacji, których nie zapewnia nam kontener; czy to
LXC, vserver czy inny docker.
--
Pozdrawiam,
Wojciech Błaszkowski
www.blaszkowski.com, +48.600197207
_______________________________________________
pld-users-pl mailing list
pld-users-pl@lists.pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl