Я прочитал много форумов, блогов и статей, сравнивающих OpenVZ, KVM и XEN. И я много раз видел, что одним из недостатков OpenVZ является то, что он менее безопасен. Однако мне еще предстоит увидеть объяснение того, как и почему это менее безопасно, кроме того факта, что OpenVZ использует общее ядро.
Я предполагаю, что если хост будет скомпрометирован для любой из этих технологий виртуализации, к контейнерам будет легко получить доступ. Итак, с этой точки зрения они одинаковы.
Легче ли вырваться из контейнера OpenVZ и получить доступ к хосту / другим контейнерам?
Есть ли другой способ сделать OpenVZ менее безопасным?
Спасибо.
Контейнеры Openvz используют ядро основного узла для работы, каждый контейнер не имеет своего собственного ядра, это называется виртуализацией на уровне ОС, поэтому, если в ядре основного узла есть эксплойт, это может привести к тому, что хакер скомпрометирует основной узел и получит доступ к нему, в других технологиях виртуализации, таких как kvm или xen, каждая виртуальная машина имеет свое ядро.
Но на самом деле у openvz не было большой истории с эксплойтами, которые могут привести к получению доступа к основному узлу. В любом случае я предпочитаю kvm или xen или любую технологию полной виртуализации, если я заинтересован в большей безопасности.
Если вы собираетесь использовать openvz, просто убедитесь, что ваше ядро обновлено.