Задать вопрос
@sparda93

Почему не безопасно использовать LXC-контейнеры?

Добрый день. Начал знакомиться с Proxmox, выбор пал на использование LXC контейнеров вместо полноценных ВМ, т.к экономия ресурсов, что огромный плюс. Изучал информацию по Proxmox и контейнерам в сети и наткнулся на изречения, что LXC никуда не годится, т.к они - потенциальная брешь в безопасности и лучше всегда ВМ использовать. Но подбробных объяснений так и не нашел. Уважаемые господа, можете, пожалуйста, внести ясность в картину почему ВМ лучше, чем LXC в плане безопасности ? И может с современной реализацией LXC не так все плохо как в 2016 году, т.к инфа была от 2016 года ?
  • Вопрос задан
  • 290 просмотров
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 4
mrusklon
@mrusklon
Не получается? Яростно гугли!
ну помимо слишком заурядных, у LXC общее ядро с остальными контейнерами, если хацкер хакнет один контейнер, это заденет остальные

Но прямо чтоб совсем ппц то нечего страшного нет в этом
Ответ написан
@Drno
Нормально всё с lxc, не парься. Он настолько же безопасен насколько и докер(по сути)
ВМ конечно имеет изоляцию от хоста намного лучше, но так же имеет и кучу накладных расходов.

Я лично давно перелез на lxc, вместо ВМ, по крайней мере в тех местах, где надо разделись сервисы 1 клиента.
Ответ написан
Комментировать
@rPman
google: (lxc or lxd) (breakout or escape) container, первая же ссылка с описанием и примерами готовых утилит

docker основан на lxd с теми же уязвимостями.

Эти технологии не подходят для запуска злонамеренного кода, только доверенного.
lxc используется для удобной изоляции конфигураций различных версий пакетов из зависимостей приложений. А так же изоляции от выбранной ОС (внутри она как бы своя), например какой-нибудь snap/flatpack пользуются той же основой.
Ответ написан
Sanes
@Sanes
Нормально там всё с безопасностью. Конкретно у LXD/Incus. Другое дело, что там есть ряд ограничений, при которых может что-то не работать в отличии от железной виртуализации.
Чистый LXC нет смысла использовать, это как ядро Linux для энтузиастов. Гораздо интересней LXD/Incus. Бонусом получите возможность запускать Qemu VM.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы