Trước hết tôi không phải là chuyên gia bảo mật và tôi chưa bao giờ sử dụng LXC trước đây.
Tôi đang cố gắng làm cứng hết mức có thể một máy chủ cứng Gentoo. Để làm như vậy, tôi nghĩ sẽ sử dụng LXC, có thể kết hợp với KVM, để cách ly càng nhiều dịch vụ mạng càng tốt.
Tôi đã đọc trang hướng dẫn unix LXC, nhưng nó vẫn còn khá mơ hồ đối với tôi về cách các bộ chứa Linux được thiết lập. Tìm kiếm trên internet để biết thêm thông tin, tôi chỉ tìm thấy tài liệu về việc chạy toàn bộ hệ thống bên trong một thùng chứa Linux, đây không phải là điều tôi muốn làm.
Những gì tôi muốn sử dụng LXC cho, chỉ chạy một ứng dụng trong một thùng chứa, chỉ bao gồm các tệp / tài nguyên tối thiểu nghiêm ngặt mà ứng dụng yêu cầu. tôi làm không phải muốn chạy toàn bộ hệ thống bên trong một container, tránh thậm chí có busybox.
Ví dụ: tôi muốn cách ly ntpd
dịch vụ, theo như tôi biết để có thể đồng bộ hóa đồng hồ hệ thống, tôi không thể chạy nó trong máy ảo. Nhưng tôi có thể chạy nó trong chroot
hoặc tôi cho rằng tôi có thể chạy nó trong một thùng chứa Linux để cách ly và bảo mật tốt hơn.
Để làm như vậy tôi sẽ phải:
- Xác định những gì tập tin ntpd yêu cầu khi thiết lập nhà tù chroot.
- Đây là nơi tôi không biết phải làm gì và làm thế nào: Cấu hình LXC, mẫu, nơi đặt các tệp của tôi để thiết lập vùng chứa, v.v.
- Chạy nó với
lxc-execute
Nó có phải là một cái gì đó có thể? Điều gì sẽ là các bước khác nhau để xây dựng, chạy và quản lý một container như vậy?