Я хотел бы запустить контейнер докеров или LXC, но ограничить доступ к самому контейнеру. В частности, возможно ли предотвратить доступ корневого узла (root на хост) к контейнеру? От доступа я имею в виду SSH в контейнер, tcpdump tx/rx помещается в контейнер, профилирует приложение и т. Д.Возможно ли ограничить доступ к контейнерам lxc?
Спасибо!
Невозможно эффективно ограничить привилегированного пользователя на хосте от проверки или доступа к контейнеру. Если бы это было так, трудно представить, как бы root-пользователь мог даже запустить контейнер в первую очередь.
В общем, полезно помнить, что контейнеризации используется для ограничения процессов в ограниченном пространстве:. Он используется, чтобы держать процесс от выхода к хозяину, чтобы не допустить других процессов получения в
Согласовано, что контейнеризация по существу должна содержать процесс выхода. Мне интересно, можно ли использовать некоторый контроль доступа в контейнере, чтобы ограничить доступ, в том числе и привилегированным пользователем. Это нормально для корневого запуска/удаления контейнера, но я хотел бы ограничить доступ к содержимому самого контейнера и данных, проходящих в и из контейнера. – NetCubist
Это действительно не осуществимо. Посмотрите на это следующим образом: вся файловая система контейнера доступна для пользователя root на главной машине. Независимо от того, какую защиту вы вводите, пользователь root может по-прежнему вставлять файлы в контейнер перед его запуском (например, новый ключ SSH) и запускать его. Все данные, которые проходят в или из контейнера, проходят через хост, что означает, что суперпользователь может перехватить его. Я не вижу способа сделать то, что вы просите. –