Virtualisation légère sous Linux avec isolation des utilisateurs

Quelles technologies de virtualisation Linux sur Linux assurent l'isolement des utilisateurs? Plus précisément, je veux que root dans la machine virtuelle n'ait aucun privilège sur l'hôte.

Ce n'était pas le cas pour LXC , mais c'était un objectif à long terme. L'isolement racine est-il disponible dans les versions récentes? Si oui, lequel?

En dehors de LXC, quel est le statut de l'isolement root pour OpenVZ, VServer et tout autre concurrent?

La plupart des solutions de virtualisation "légères" sont plus ou moins basées sur l'idée chroot - avec des processus cachés du "maître". Je n'ai pas vu de CERT sur les problèmes mais cela ne semble pas être ce que vous recherchez.

Une approche hyperviseur pourrait être plus la direction que vous recherchez - mais je ne considérerais pas cela comme «léger» (également un PV XEN DomU est assez rapide). À proprement parler, le Dom0 ne démarre pas le DomU - il dit à l'hyperviseur de le faire - mais il y a des CERT sur l'escalade de privilèges (VMWare ESX et XEN). Je ne connais pas Hyper-V cependant.

Pour une meilleure isolation des droits des utilisateurs - là où un processus d'espace utilisateur génère une machine virtuelle "isolée", il y a VirtualBox - mais encore une fois - pas léger. Il s'agit de virtualisation complète, mais les machines virtuelles peuvent être démarrées en tant qu'utilisateur "normal". L'utilisateur doit avoir accès au disque sous-jacent - et si vous voulez / devez - aux périphériques USB.

En dehors de cela, il y a un module de noyau pour les choses en réseau, qui semble fonctionner assez bien (en utilisant DKMS).