【问题标题】:Application Isolation with Linux Containers?Linux 容器的应用程序隔离?
【发布时间】:2014-06-29 09:46:24
【问题描述】:

我在一个嵌入式平台上工作,我有一个处理敏感数据的重要应用程序。我想保护这个应用程序免受其他应用程序的影响。为此,我想出了容器。


我已经使用 LXC 在我的 Linux PC 中设置了一个容器。然后我在容器中运行一个应用程序。从容器中,我无法访问或查看主机中运行的任何应用程序,但相反的情况是可能的(我可以从主机访问容器中的应用程序)。有没有办法将容器与主机隔离?有没有其他选择。

【问题讨论】:

    标签: linux virtual-machine docker lxc


    【解决方案1】:

    你可以做两件事。更好的方法是仅以其他用户身份运行您的应用程序,并且不要让您的主帐户对额外用户的文件夹和文件有任何访问权限。第二种方法是将整个系统复制到一个子文件夹中并使用 chroot,但这很难设置,而且可能有点矫枉过正。

    【讨论】:

    • 我们可以从主(主机)访问chroot-ed应用程序,对不对。这就是我想要阻止的。
    • 我的意思是:在启动时chroot你的操作系统,而不是chroot你的应用程序。
    【解决方案2】:

    如果可以访问主机,就可以访问其中运行的容器。

    您可以做的是安装一个最小的主机,除了 Docker 之外不运行任何服务,并将所有其他服务分配到容器中,使您的应用容器与其他服务隔离。

    【讨论】:

      【解决方案3】:

      有没有办法将容器与宿主机隔离?

      不抱歉。如果您想阻止其他应用程序访问包含的应用程序中的数据,则这些其他应用程序必须是要包含的应用程序。管理程序将始终对所有包含的应用程序具有完全访问权限,因为它需要这样做才能完成其工作。

      【讨论】:

        猜你喜欢
        • 2015-06-23
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2011-02-21
        • 1970-01-01
        • 1970-01-01
        • 2018-06-20
        • 1970-01-01
        相关资源
        最近更新 更多