Virtualizzazione leggera su Linux con isolamento dell'utente

Quali tecnologie di virtualizzazione Linux su Linux forniscono l'isolamento dell'utente? In particolare, voglio che root nella macchina virtuale non abbia alcun privilegio sull'host.

Questo non era il caso di LXC , ma era un obiettivo a lungo termine. L'isolamento della radice è disponibile nelle versioni recenti? Se sì, quale?

A parte LXC, qual è lo stato dell'isolamento di root per OpenVZ, VServer e qualsiasi altro contendente?

— Gilles 'SO- smetti di essere malvagio'
fonte

Cosa intendi con "non qualsiasi"? Ci deve essere almeno un filesystem comune o LV / partizione da qualche parte e / o un segmento di memoria per la scheda grafica.

— Nils,

@Nils Al massimo l'utente root nella VM non deve avere più privilegi dell'utente host che invoca la VM.

— Gilles 'SO- smetti di essere malvagio' il

La maggior parte delle soluzioni di virtualizzazione "leggere" si basano più o meno sull'idea chroot - con processi nascosti dal "master". Non ho visto alcun CERT sui problemi lì, ma questo non sembra essere quello che stai cercando.

Un approccio Hypervisor potrebbe essere più nella direzione che stai cercando, ma non lo considero "leggero" (anche un DomU PV XEN è piuttosto veloce). A rigor di termini, Dom0 non avvia DomU - dice a Hypervisor di farlo - ma ci sono stati CERT su escalation di privilegi (VMWare ESX e XEN). Non conosco Hyper-V però.

Per un migliore isolamento dei diritti dell'utente - dove esiste un processo nello spazio utente che genera una VM "isolata" c'è VirtualBox - ma ancora una volta - non è leggero. Questa è virtualizzazione completa, ma le VM possono essere avviate come utente "normale". L'utente deve avere accesso al disco sottostante - e se lo si desidera / è necessario - dispositivi USB.

A parte questo c'è un modulo del kernel per le cose di rete, che sembra funzionare abbastanza bene (usando DKMS).

— Nils
fonte