Fonds Linux
  1. Fonds Linux
  3. Qu'est-ce qui rend systemd-nspawn encore "impropre à la configuration sécurisée de conteneurs"?
Intereting Posts
Trouver le nombre d'éléments dans un tableau référencé par un nom créé dynamicment Connectez-vous en tant que client à Ipsec avec OpenSuse Linux Comment copyr un file en cours d'écriture sur ssh? Comment puis-je savoir quel file unistd.h est chargé? Existe-t-il un moyen de définir temporairement le path de search de la bibliothèque tcpdump ne capturera pas le package entier Huawei E3372s + Linux (Rasbian), problème de connections entrantes SCP échoue sans erreur Liste les noms de files manquants dans un model changez l'location de $ HOME / .Xauthority Écrire un server TCP dans bash Comment get less de ttys avec Systemd? Pourquoi est-ce que tuer ne fonctionne pas à partir du script, mais fonctionne-t-il à partir du terminal? Pourquoi xsetwacom ne fonctionne-t-il pas depuis udev? arrêtez Xserver dans Xubuntu 11

Qu'est-ce qui rend systemd-nspawn encore "impropre à la configuration sécurisée de conteneurs"?

Ceci est indiqué dans la page de manuel pour systemd-nspawn

Notez que même si ces précautions de security sont sockets, systemd-nspawn ne convient pas pour les configurations de conteneurs sécurisées. De nombreuses fonctions de security peuvent être contournées et sont donc principalement utiles pour éviter des modifications accidentelles du système hôte à partir du conteneur. L'utilisation prévue de ce programme est le debugging et le test, ainsi que la construction de packages, de dissortingbutions et de logiciels liés à la gestion des amorçages et des systèmes.

Cette question a été posée par la suite sur la list de diffusion en 2011 , mais la réponse semble être dépassée.

systemd-nspawn contient du code pour exécuter CLONE_NEWNET utilisant l'option --private-network maintenant. Cela semble couvrir le AF_UNIX espace de noms privé AF_UNIX , et je suppose que les CAP_NET_RAW et CAP_NET_BIND mentionnés.

Quels problèmes subsistent à ce stade et que fait par exemple LXC en plus de ce que systemd-nspawn peut actuellement faire?

LXC est un peu mieux car il peut exécuter des conteneurs en tant qu'users sans privilèges . Ceci est possible avec systemd-nspawn, mais uniquement pour les scénarios où vous n'avez besoin que d'un user (au lieu de plusieurs), ce qui peut être difficile ou less sécurisé pour les multi-process dans les scénarios de conteneur. Si vous voulez savoir pourquoi docker, lxc et systemd-nspawn ne sont insortingnsèquement pas un mécanisme de security solide, lisez ceci: https://opensource.com/business/14/7/docker-security-selinux . Fondamentalement, les conteneurs ont toujours access au kernel et tout exploit du kernel prend le contrôle de toute la machine. Sur un kernel monolithique comme Linux, les exploits du kernel ne sont pas rares.