LXC: непривилегированные контейнеры

root в непривилегированном контейнере != руту на хосте

Так и есть

Я думал что root в непривилегированном контейнере != руту на хосте

Я тоже так думаю. За ссылку спасибо, почитаем.

Где-то слышал™ что непривелигерованные контейнеры ещё не готовы и есть проблемы с безопасностью.
Но это было полгода - год назад. LXC быстро развивается.

related: http://iops.io/blog/docker-hype/

Мсье - автор блога по ссылке не всегда корректные вещи пишет, не следовало бы использовать его данные как истину в последней инстанции. Лучше гуглить по конкретному вопросу

С версии lxc 1.0 очень большие изменения в этом направлении в лучшую сторону произошли

не следовало бы использовать его данные как истину в последней инстанции

Я понял.

Давно уже на веру не воспринимаю всё, что пытаются втюхать. А когда-то да, было дело =)

Пока сам не покрутишь, не поисправляешь косяки, не вкуришь.

Кажется я это слышал именно про 1.0. Во всяком случае это было после релиза 1.0.

Правильно-ли я понимаю что трабла с непривилегированными контейнерами в том что их может создавать непривилегированный пользователь, и создать их небезопасным образом (например без фильтрации доступа к устройствам), получить в своём контейнере рута, и сбедать из него уже в хостового рута?
Хотя маппинг UIDов (user namespace) во времена 1.0 уже был.

Почему бы вместо LXC не попробовать OpenVZ?

IMHO пофиг на uid. Для контейнера можно урезать capabilities

Если юзер может создать контейнер только с урезанными правами/capabitities, то повысить привелегии он сможет только за счет ядерных багов, что пока трудно.

Потому что его нет в ванильном ядре возможно?

Правильно-ли я понимаю что трабла с непривилегированными контейнерами в том что их может создавать непривилегированный пользователь, и создать их небезопасным образом (например без фильтрации доступа к устройствам), получить в своём контейнере рута, и сбедать из него уже в хостового рута?

Мм, не совсем понял

Есть оф репо под centos и debian.
https://openvz.org/Quick_installation
https://openvz.org/Installation_on_Debian

И в итоге такая картина: https://twitter.com/balancer73/status/564493217601572864

И какую версию ядра мы получаем в итоге?

Винтажную, выдержанную (:
Но если нужна именно контейнеризация под линь и нет желания глубоко копать то OVZ — хороший выбор.
LXC это всё-таки ещё больше про энтузиастов и светлое будущее.
Хотя развивается он быстро и основные дыры уже закрыты, так-что светлое будущее похоже не за горами.

Если хост-система - выделенный хост, то openvz.

Если хост-система - обычный workstation или что-то подобное, кастомное ядро по многим причинам может не подходить.

+если юзается docker, нужен lxc (уже необязательно, но стоило бы)

Ну это да. Ставить на десктопцик OVZ ядро — явно не самая здоровая идея (:

Кстати как там сейчас со вложенными контейнерами? Вроде тоже были какие-то траблы с безопасностью.
Очень жду тот момент когда можно будет поднять vps внутри vps, что-бы можно было использовать vps в то время когда я буду использовать vps. OVZ/LXC внутри KVM/XEN не предлагать, не спортивно и нельзя добавить ещё один уровень.

Nested KVM же!

У KVM всё-таки накладные расходы значимы, особо не по углубляешься.

А какая цель? Я реальное применение такому вижу только в случае если ты купил контейнерную vpsку и хочешь в ней контейнеры запускать.

Во первых да, контейнеры на дешёвых (контейнерных) VPSках.
Во вторых контейнер внутри контейнера внутри контейнера внутри контейнера внутри контейнера это доставляет.
В третьих если LXC контейнер можно будет гарантированно создать везде то можно будет пихать в них все стрёмные сервисы просто на этапе опакечивания мэйнтейнеров дистрибутива.

В тех же переводах, что и у ТС есть: http://vasilisc.com/lxc-1-0-advanced-container-usage

То что оно есть я в курсе, интересно актуальное состояние.