应用程序与Linux容器隔离?
我正在开发一个embedded式平台,在那里我有一个处理敏感数据的重要应用程序。 我想保护这个应用程序从其他应用程序。 为此我想出了容器。
我使用LXC在我的Linux PC中build立了一个容器。 然后我在容器中运行一个应用程序。 从容器中,我无法访问或看到主机上运行的任何应用程序,但反过来也是可能的(我可以从主机访问容器中的应用程序)。 有没有办法将容器与主机隔离? 有没有其他的select。
有没有办法将容器与主机隔离?
没有抱歉。 如果您想阻止其他应用程序访问包含的应用程序中的数据,则其他应用程序必须是要包含的应用程序。 pipe理程序将通过所有包含的应用程序始终具有完全访问权限,因为它需要做到这一点。
如果在主机上有访问权限,则可以访问其中运行的容器。
你可以做的是有一个最小的主机安装,除了Docker以外没有其他服务在运行,并将所有其他服务分配到容器中,让应用程序容器与其他服务隔离。
有两件事你可以做。 更好的方法是以不同的用户身份运行您的应用程序,并且不要让您的主帐户访问额外用户的文件夹和文件。 第二种方法是将整个系统复制到一个子文件夹并使用chroot,但是这很难设置,可能矫枉过正。