是否有可能限制访问lxc容器?
我想运行docker或LXC容器,但限制对容器本身的访问。 特别是,甚至可以防止根(主机上的根)访问容器? 从访问,我的意思是SSH到容器,tcpdump tx / rx放入容器,分析应用程序等。
谢谢!
不可能有效地限制主机上的特权用户检查或访问容器。 如果是这样的话,很难想象root用户甚至可能首先启动容器。
一般来说,记住集装箱化是用来将进程限制在一个有限的空间里是有用的:它用来阻止进程到达主机,而不是阻止其他进程进入。
我想运行docker或LXC容器,但限制对容器本身的访问。 特别是,甚至可以防止根(主机上的根)访问容器? 从访问,我的意思是SSH到容器,tcpdump tx / rx放入容器,分析应用程序等。
谢谢!
不可能有效地限制主机上的特权用户检查或访问容器。 如果是这样的话,很难想象root用户甚至可能首先启动容器。
一般来说,记住集装箱化是用来将进程限制在一个有限的空间里是有用的:它用来阻止进程到达主机,而不是阻止其他进程进入。