Ảo hóa nhẹ trên Linux với sự cô lập người dùng

Những công nghệ ảo hóa Linux trên Linux cung cấp sự cô lập người dùng? Cụ thể, tôi muốn root trong máy ảo không có bất kỳ đặc quyền nào trên máy chủ.

Đây không phải là trường hợp của LXC , nhưng là một mục tiêu dài hạn. Là cách ly gốc có sẵn trong các phiên bản gần đây? Nếu vậy thì cái nào?

Ngoài LXC, trạng thái cách ly root cho OpenVZ, VServer và bất kỳ ứng cử viên nào khác là gì?

Hầu hết các giải pháp ảo hóa "nhẹ" đều ít nhiều dựa trên ý tưởng chroot - với các quy trình ẩn từ "chính". Tôi không thấy bất kỳ CERT nào về các vấn đề ở đó nhưng dường như đây không phải là điều bạn đang tìm kiếm.

Cách tiếp cận của Hypervisor có thể là hướng bạn đang tìm kiếm - nhưng tôi sẽ không tính đó là "nhẹ" (cũng là một PV XEN DomU khá nhanh). Nói một cách chính xác thì Dom0 không khởi động DomU - nó nói với Hypervisor làm điều đó - nhưng đã có CERTs về sự leo thang đặc quyền (VMWare ESX và XEN). Tôi không biết về Hyper-V.

Để phân tách quyền người dùng tốt hơn - nơi có quy trình không gian người dùng sinh ra một VM "bị cô lập", có VirtualBox - nhưng một lần nữa - không hề nhẹ. Đây là ảo hóa hoàn toàn, nhưng VM có thể được bắt đầu như người dùng "bình thường". Người dùng phải có quyền truy cập vào đĩa bên dưới - và nếu bạn muốn / cần - các thiết bị usb.

Ngoài ra, còn có một mô-đun hạt nhân cho các công cụ mạng, có vẻ như hoạt động khá tốt (sử dụng DKMS).