Исправление
ktulhu666,
(текущая версия)
:
в lxc.
http://demotivators.to/media/posters/4094/803635_narkoman-shtole.jpg
Даже с ограничивающими chroot настройками grsecurity lxc совсем не торт (даже сами разработчики писали, что это средство для тестирования (как chroot) и ограничения пожирания ресурсов. И к реальной безопасности не имеет пока отношения (от рута в контейнере вообще можно вырваться из контейнера)). Только openvz. Но вообще лучше kvm/xen (пропадает возможность использовать эксплойты основного ядра). Если проц не поддерживает HVM, то xen pv (проще всего поставить систему через подмонтированный (nfs) образ на компе с HVM). Ей богу, как маленький: один сервис - одна виртуалка (один сервер — одно приложение). На хостовой машине вообще ничего не должно быть. Виртуалки разворачивайте из эталонного шаблона.
Исходная версия
ktulhu666,
:
в lxc.
http://demotivators.to/media/posters/4094/803635_narkoman-shtole.jpg
Даже в ограничивающими chroot настройками grsecurity lxc совсем не торт (даже сами разработчики писали, что это средство для тестирования (как chroot) и ограничения пожирания ресурсов. И к реальной безопасности не имеет пока отношения (от рута в контейнере вообще можно вырваться из контейнера)). Только openvz. Но вообще лучше kvm/xen (пропадает возможность использовать эксплойты основного ядра). Если проц не поддерживает HVM, то xen pv (проще всего поставить систему через подмонтированный (nfs) образ на компе с HVM). Ей богу, как маленький: один сервис - одна виртуалка (один сервер — одно приложение). На хостовой машине вообще ничего не должно быть. Виртуалки разворачивайте из эталонного шаблона.
