Chạy các container không có đặc quyền là cách an toàn nhất để chạy container trong môi trường sản xuất. Các container bị công khai xấu khi nói đến bảo mật và một trong những lý do là bởi vì một số người dùng đã phát hiện ra rằng nếu người dùng đã root trong một container thì cũng có khả năng lấy được root trên máy chủ. Về cơ bản những gì một container không có đặc quyền làm là che dấu userid từ máy chủ. Với các bộ chứa không có đặc quyền, người dùng không root có thể tạo các bộ chứa và sẽ có và xuất hiện trong bộ chứa dưới dạng root nhưng sẽ xuất hiện dưới dạng userid 10000 chẳng hạn trên máy chủ (bất cứ thứ gì bạn ánh xạ người dùng như). Gần đây tôi đã viết một bài đăng trên blog này dựa trên loạt blog của Stephane Graber trên LXC (Một trong những nhà phát triển trí tuệ / nhà phát triển chính của LXC và một người nào đó chắc chắn sẽ theo dõi). Tôi nói lại, vô cùng rực rỡ.
Từ blog của tôi:
Từ container:
lxc-attach -n ubuntu-unprived
root@ubuntu-unprived:/# ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 04:48 ? 00:00:00 /sbin/init
root 157 1 0 04:48 ? 00:00:00 upstart-udev-bridge --daemon
root 189 1 0 04:48 ? 00:00:00 /lib/systemd/systemd-udevd --daemon
root 244 1 0 04:48 ? 00:00:00 dhclient -1 -v -pf /run/dhclient.eth0.pid
syslog 290 1 0 04:48 ? 00:00:00 rsyslogd
root 343 1 0 04:48 tty4 00:00:00 /sbin/getty -8 38400 tty4
root 345 1 0 04:48 tty2 00:00:00 /sbin/getty -8 38400 tty2
root 346 1 0 04:48 tty3 00:00:00 /sbin/getty -8 38400 tty3
root 359 1 0 04:48 ? 00:00:00 cron
root 386 1 0 04:48 console 00:00:00 /sbin/getty -8 38400 console
root 389 1 0 04:48 tty1 00:00:00 /sbin/getty -8 38400 tty1
root 408 1 0 04:48 ? 00:00:00 upstart-socket-bridge --daemon
root 409 1 0 04:48 ? 00:00:00 upstart-file-bridge --daemon
root 431 0 0 05:06 ? 00:00:00 /bin/bash
root 434 431 0 05:06 ? 00:00:00 ps -ef
Từ chủ nhà:
lxc-info -Ssip --name ubuntu-unprived
State: RUNNING
PID: 3104
IP: 10.1.0.107
CPU use: 2.27 seconds
BlkIO use: 680.00 KiB
Memory use: 7.24 MiB
Link: vethJ1Y7TG
TX bytes: 7.30 KiB
RX bytes: 46.21 KiB
Total bytes: 53.51 KiB
ps -ef | grep 3104
100000 3104 3067 0 Nov11 ? 00:00:00 /sbin/init
100000 3330 3104 0 Nov11 ? 00:00:00 upstart-udev-bridge --daemon
100000 3362 3104 0 Nov11 ? 00:00:00 /lib/systemd/systemd-udevd --daemon
100000 3417 3104 0 Nov11 ? 00:00:00 dhclient -1 -v -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0
100102 3463 3104 0 Nov11 ? 00:00:00 rsyslogd
100000 3516 3104 0 Nov11 pts/8 00:00:00 /sbin/getty -8 38400 tty4
100000 3518 3104 0 Nov11 pts/6 00:00:00 /sbin/getty -8 38400 tty2
100000 3519 3104 0 Nov11 pts/7 00:00:00 /sbin/getty -8 38400 tty3
100000 3532 3104 0 Nov11 ? 00:00:00 cron
100000 3559 3104 0 Nov11 pts/9 00:00:00 /sbin/getty -8 38400 console
100000 3562 3104 0 Nov11 pts/5 00:00:00 /sbin/getty -8 38400 tty1
100000 3581 3104 0 Nov11 ? 00:00:00 upstart-socket-bridge --daemon
100000 3582 3104 0 Nov11 ? 00:00:00 upstart-file-bridge --daemon
lxc 3780 1518 0 00:10 pts/4 00:00:00 grep --color=auto 3104
Như bạn có thể thấy các tiến trình đang chạy bên trong container dưới dạng root nhưng không xuất hiện dưới dạng root mà là 100000 từ máy chủ.
Vì vậy, để tóm tắt: Lợi ích - thêm bảo mật và thêm sự cô lập cho bảo mật. Nhược điểm - Một chút bối rối để quấn đầu của bạn lúc đầu và không dành cho người dùng mới làm quen.