Прежде всего, я не эксперт по безопасности, и я никогда раньше не пользовался LXC.
Я пытаюсь максимально укрепить защищенный сервер Gentoo. Для этого я думаю использовать LXC, возможно, в сочетании с KVM, чтобы изолировать как можно больше сетевых сервисов.
Я прочитал страницу руководства по LXC unix, но мне все еще непонятно, как настраиваются контейнеры Linux. Просматривая в Интернете дополнительную информацию, я нашел только документацию по запуску всей системы внутри контейнера Linux, а это не то, что я хотел бы сделать.
Я хочу использовать LXC для запуска только одного приложения внутри контейнера, включая только строгие минимальные файлы / ресурсы, требуемые приложением. Я не хочу запускать всю систему внутри контейнера, избегая даже наличия busybox.
Например, я хотел бы изолировать ntpd
службу, насколько я знаю, что я могу синхронизировать системные часы, я не могу запустить ее внутри виртуальной машины. Но я мог запустить его внутри chroot
или, я полагаю, мог бы запустить его внутри контейнера Linux для лучшей изоляции и безопасности.
Для этого мне необходимо:
- Определите, какие файлы требуются ntpd при настройке chroot-тюрьмы.
- Здесь я не знаю, что и как делать: конфигурация LXC, шаблон, куда поместить мои файлы для настройки контейнера и т. Д.
- Запустить его с
lxc-execute
Это возможно? Какими будут различные шаги для создания, запуска и управления таким контейнером?