2011年 4月 29日
lxcについてくるlxc-execute(1)がお手軽すぎてヤバい
lxcは普段は仮想マシンみたいなのを作る用途で使うわけだけども、そんな大規模の必要ないよプロセスが一個ぽつんと隔離されて起動してくれればいいよ、というありがちなケースをカバーしてくれるのがlxc-execute(1)で、つまりこれはsudo(1)とかchroot(1)とかfreebsdのjail(1)みたいな使い方をするわけだ。特徴としては、
- まずpid/uidの名前空間が他と分離されるので、仮にrootが奪取されても他のプロセスをkillしたりできない
- ネットワークも他と分離されるので、仮にrootが奪取されてもパケットスニファとかからは何も見えない
- …
chrootとかjailは面倒だけど同じような事をしたい時に便利ですね
1年前 | 固定リンク | 2011年 4月 29日 | 
