Leichte Virtualisierung unter Linux mit Benutzerisolation

Welche Linux-on-Linux-Virtualisierungstechnologien bieten Benutzerisolation? Insbesondere möchte ich, dass root in der virtuellen Maschine keine Berechtigungen auf dem Host hat.

Dies war bei LXC nicht der Fall , aber ein langfristiges Ziel. Ist die Root-Isolation in neueren Versionen verfügbar? Wenn ja, welche?

Wie ist der Status der Root-Isolation für OpenVZ, VServer und andere Konkurrenten, abgesehen von LXC?

— Gilles 'SO - hör auf böse zu sein'
quelle

Was meinst du mit "nicht welche"? Es muss mindestens ein gemeinsames Dateisystem oder eine LV / Partition irgendwo und / oder ein Speichersegment für die Grafikkarte vorhanden sein.

— Nils

@Nils Höchstens der Root-Benutzer in der VM darf nicht mehr Berechtigungen haben als der Host-Benutzer, der die VM aufruft.

— Gilles 'SO - hör auf böse zu sein'

Die meisten "leichten" Virtualisierungslösungen basieren mehr oder weniger auf der Chroot-Idee - mit versteckten Prozessen des "Masters". Ich habe dort keine CERTs über Probleme gesehen, aber dies scheint nicht das zu sein, wonach Sie suchen.

Ein Hypervisor-Ansatz könnte eher die Richtung sein, nach der Sie suchen - aber ich würde das nicht als "leicht" betrachten (auch eine PV XEN DomU ist ziemlich schnell). Genau genommen startet Dom0 die DomU nicht - es weist den Hypervisor an, dies zu tun -, aber es gibt CERTs über die Eskalation von Berechtigungen (VMWare ESX und XEN). Ich weiß allerdings nichts über Hyper-V.

Für eine bessere Isolierung der Benutzerrechte - wo ein User-Space-Prozess eine "isolierte" VM erzeugt - gibt es VirtualBox - aber auch hier - nicht leichtgewichtig. Dies ist eine vollständige Virtualisierung, aber die VMs können als "normaler" Benutzer gestartet werden. Der Benutzer muss Zugriff auf die zugrunde liegende Festplatte haben - und wenn Sie möchten / müssen - USB-Geräte.

Abgesehen davon gibt es ein Kernelmodul für das Netzwerkmaterial, das ziemlich gut zu funktionieren scheint (mit DKMS).

— Nils
quelle