Легкая виртуализация в Linux с изоляцией пользователя

Какие технологии виртуализации Linux-на-Linux обеспечивают изоляцию пользователей? В частности, я хочу, чтобы root на виртуальной машине не имел никаких привилегий на хосте.

Это не относится к LXC , но является долгосрочной целью. Доступна ли корневая изоляция в последних версиях? Если так, то какой?

Помимо LXC, каков статус изоляции root для OpenVZ, VServer и любого другого претендента?

— Жиль "ТАК - перестань быть злым"
источник

Что вы подразумеваете под "не любой"? Где-то должна быть хотя бы общая файловая система или раздел LV / и / или сегмент памяти для графической карты.

— Нильс

@Nils У пользователя root не должно быть больше прав, чем у пользователя хоста, вызывающего виртуальную машину.

— Жиль "ТАК - перестань быть злым"

Большинство «легких» решений для виртуализации более или менее основаны на идее chroot - со скрытыми процессами от «master». Я не видел никаких CERT о проблемах там, но это, кажется, не то, что вы ищете.

Подход с использованием гипервизора может быть больше направлением, которое вы ищете, но я бы не стал считать его «легковесным» (также PV XEN DomU довольно быстр). Строго говоря, Dom0 не запускает DomU - он говорит Гипервизору сделать это - но были CERT о повышении привилегий (VMWare ESX и XEN). Я не знаю о Hyper-V, хотя.

Для лучшей изоляции прав пользователя - там, где есть процесс в пользовательском пространстве, порождающий «изолированную» виртуальную машину, есть VirtualBox - но опять-таки - не легкий. Это полная виртуализация, но виртуальные машины могут быть запущены как «обычный» пользователь. Пользователь должен иметь доступ к базовому диску - и, если вам нужно / нужно, - к USB-устройствам.

Кроме того, есть модуль ядра для сетевого взаимодействия, который, кажется, работает довольно хорошо (с использованием DKMS).

— Nils
источник