Per anni, sto usando OpenVZ sul mio server, ma supporto sospeso per Debian e Ubuntu, le attuali versioni sembrano concentrarsi su LXC ora, che non è una cattiva idea dal punto di vista del comfort.
Ma per quanto riguarda la sicurezza? Ricordo di aver letto una volta che LXC non fornisce lo stesso livello di separazione dei processi e dei contenitori rispetto a OpenVZ. Purtroppo, non riesco più a trovare il documento, ma sono d'accordo che potrebbero esserci alcuni problemi di sicurezza almeno nella configurazione predefinita di LXC. Ad esempio, con un rootfs completamente personalizzato, ho gestito una volta (in una versione precedente di LXC) per modificare il terminale dell'host da un contenitore LXC utilizzando chvt 1
e premendo Ctrl + C terminato in un riavvio del mio ambiente X11 quando ho provato a riprodurre oggi. Lo so, tutte le soluzioni container utilizzano lo stesso kernel e un hack del kernel può portare a un breakout del contenitore, non è quello che chiedo. Ma non dovrebbe essere così facile influenzare l'host o altri contenitori da un contenitore.
Quanta sicurezza posso aspettarmi da OpenVZ e LXC?
Il mio server espone alcune porte guest a Internet, quindi mi interessa davvero questo aspetto, ma devo prendere una decisione perché gli strumenti attualmente utilizzati devono essere aggiornati. L'uso di KVM o simili non è un'opzione dal momento che il mio server ha una CPU a basse prestazioni.
PS: sto parlando della vera implementazione di OpenVZ con vzctl 4.7.2-1. Alcune implementazioni più recenti di vzctl usano tecniche LXC.