>Ксен - это паравиртуализация, и оверхед получается не сильно заметный. Да, особенно в дисковой подсистеме, так, судя по бенчам Xen. Где порой слив чуть ли не в разы. А вза ... ну как на железке примерно.
>Что тоже полный фейл кстати )
Я рассматриваю сие как фичу а не баг с точки зрения системной секурити. Если надо, модуль грузится на хосте. А вот хацкеры на контейнерах без доступа к хосту - действительно опасных руткитов засунуть не смогут. Сие доставляет. А если учесть возможность мониторинга контейнера с хоста, то по сути хаксоры попадают на машину где руткит уже впарен, только работает на админа, а не против него.
>Да не надо ломать собственно vz, скорее устройства и ioctl
>вызовы native ядра.
А какие устройства вы ломать то собираетесь? В взовом контейнере девайсов - полторы штуки как правило. Типа виртуальной сетевки и всяких стандартных девайсов. И вызовы в ядро хоста как я понимаю здорово ограничены (иначе любой контейнер мог бы вызвать глобальный отказ в обслуживании поставив раком какую-нить железку).
>Какой ls из сервера, вы о чем?
О том что если мы попилили все в стиле "1 контейнер == 1 сервис" а потом в контейнере вебсерванта вдруг с чего-то ради выполнился ls в контейнере (который вебсерверу нафиг не нужен для его нормальной работы, а админ может и с хоста сие делать) - опачки, хаксор сурово запалился. Можно хоть автоматом срубить контейнер и аларму админу отослать - "у вас тут ваш вебсервант хакнули, дескать".
>Если уж хотите безопасность - тот же php-fpm умеет chroot`ить себя после запуска.
В упомянутом случае "1 контейнер == 1 сервис" это строго говоря оверкилл: даже если хаксор сможет отхватить рута в взовом контейнере, он сможет раздолбать только свой загончик с 1 сервисом. И скажем если вебсерв поимели - поимели только вебсерв. А почтовик например в соседнем контейнере вообще никак не затронут. И отмониторить просто - система нужная для только запуска вебсерва может быть примитивна а потому ее просто мониторить на предмет левой активности.
>Дележ ресурсов в ксене сделан много более позитивно.
Конкретнее, плиз.
>С безопасностью - в случае, например, уязвимости одного из системных вызовов,
>которые непосредственно обрабатываются хостом - ваш эксплоит получит
>доступ в адресное пространство хоста.
А в случае какой-то лажи в гипервизоре вражина может вообще внедриться в гипервизор. И потом вражину вообще не заметишь ни из какой оси. Потому что гипервизор уровнем ниже. И?
> В случае ксена или квм-а это будет только гость.
Если рассматривать взлом хоста - надо, очевидно, в вашем случае рассматривать взлом вызовов гипервизора. Сие случается (прецеденты науке известны, включая даже весьма параноидальные системы типа xbox360, etc). А хаксор с правами гипервизора - это полная жопа. Потому что его из операционок по определению не видно. Вот только в схеме с примитивными контейнерами с минимальной системой - можно отмониторить и срубить еще на этапе когда хаксор только попробует понять - а куда он собссно попал. А вот для XEN придется ставить полноценную ось со всеми наворотами. И там ls - не есть нештатная операция, например.
>Как-то так. Кроме того - и в случае потенциального взлома хоста
Хост вообще не обязан быть доступен по сети. Как его ломать? Глуша системными вызовами? Ну так можно мониторить контейнеры на предмет левой активности: с примитивной минимальной системой нужной для взлета одного сервиса как-бы отловить левую активность очень просто. В такой ос скажем "ls", "uname" или что там еще могут быть всего лишь утилями ставящими метку для хоста "нас поимели", а вовсе не. Ну и хацкер при любых поползновениях спалится. А вот то что хост мониторит активность - из контейнера вообще никак не видно.
>добраться до содержимого контейнера или процессов запущенных в нем будет намного проще.
С фига ли? Примерно одинаково. В общем то тут все просто - прав тот у кого больше прав :)
>Кстати, мне прекрасно удавалось трапать ядро хоста (!) из контейнера когда я игрался
>с бриджами внутри оных. Такие дела.
Забавно. А поподробнее? Какая система, кернел, что делалось? А то я изгалялся над взой по всякому, вплоть до потуг эксплойта из контейнеров, ничего не падало. Ну и что это доказывает - не совсем понятно: прецеденты эксплойтирования гипервизоров тоже в общем то известны. Сломать то в принципе можно все. Только в случае предложенной мной схемы - можно 100500 раз спалить левую активность в загончике не характерную для вебсервака, например и просто выключить контейнер. Гораздо быстрее чем хацкер сможет там что-то нехорошее сделать.
