Fonds Linux
  1. Fonds Linux
  3. LXC: Toute différence de security entre les conteneurs non privilégiés root et user final?
Intereting Posts
Le dossier supprimé continue de revenir Amélioration de la vitesse d'exécution du script de luminosité de l'écran Quelle est la hiérarchie du process / programme de démarrage du bureau X? Découvrez si l'ordinateur a démarré via Wake-on-LAN ou le button d'alimentation? Comment actualiser une window par terminal? Ou comment simuler `F5`? window de la console série redimensionnable? Comment sécuriser un script sudo Y a-t-il une raison d'avoir ntpd sync to Local (0) si le server n'est pas utilisé comme source de time? Récupération des superblocs ext4 Installé Fedora dans le bureau Windows dual boot. Maintenant, je ne peux pas get une résolution complète du moniteur avec mon AMD Radeon HD 6450 Remap bash vi touches? Comment fonctionne PulseAudio? Paramètres DPI dans le gestionnaire de windows génial Utilisez basename pour parsingr la list des paths contenus dans un file Exactement ce que fait rpcbind?

LXC: Toute différence de security entre les conteneurs non privilégiés root et user final?

J'ai l'intention d'utiliser des conteneurs LXC pour isoler la plupart des services faisant face au réseau.

Selon ma compréhension, j'ai principalement deux façons de le faire:

  1. Créez des conteneurs non privilégiés appartenant à root . Dans ce cas, root aura un seul grand set de sous-UID et de sous-GID, et des sous-sets différents seront affectés à chaque conteneur (aucun conteneur ne partagera de sous-UID ou de sous-GID entre eux).

  2. Créez des conteneurs non privilégiés appartenant à des counts système non privilégiés . Dans ce cas, chaque count possédera un seul conteneur et les UID et GID subordonnés requirejs pour ce conteneur unique.

Du sharepoint vue de la convivialité, le premier est beaucoup mieux: plus facile à configurer et à maintenir.

Cependant, du sharepoint vue de la security, y a-t-il une différence entre les deux?

Par exemple:

  • Y a-t-il un lien ou une relation horizontale quelconque entre des ID appartenant au même pool (même ligne) que ceux définis dans /etc/subuid et /etc/subgid , par rapport aux ID appartenant à différents users et appartenant donc à des pools différents )?

  • Y a-t-il un lien ou une relation verticale quelconque entre un ID subordonné et son count propriétaire? Un ID subordonné appartenant à root peut-il get des privilèges plus élevés qu'un ID subordonné appartenant à un user non privilégié? Un ID de subordonné peut-il passer à son ID de propriétaire de manière plus facile que de passer à un autre ID arbitraire?

  • Propriété de root signifie que toutes les commands pour administrer le conteneur seront lancées avec le privilège root de l'hôte. Cela constitue-t-il une faiblesse ou, par exemple, tous les privilèges sont-ils abandonnés tôt?

  • Etc.

En d'autres termes: les conteneurs non privilégiés appartenant à la racine peuvent-ils être «less défavorisés» que ceux appartenant à des counts standard?