Прежде всего, я не эксперт по безопасности, и я никогда раньше не использовал LXC.
Я пытаюсь максимально защитить сервер Gentoo. Для этого я думаю использовать LXC, возможно, в сочетании с KVM, чтобы изолировать как можно больше сетевых сервисов.
Я прочитал страницу руководства по LXC unix, но мне все еще неясно, как настроены контейнеры Linux. Просматривая в Интернете дополнительную информацию, я нашел только документацию по запуску всей системы в контейнере Linux, что я не хотел бы делать.
Я хочу использовать LXC для запуска только одного приложения внутри контейнера, включая только строгие минимальные файлы / ресурсы, требуемые приложением. Я не хочу запускать всю систему внутри контейнера, избегая даже наличия busybox.
Например, я хотел бы изолировать службу ntpd , насколько я знаю, что я могу синхронизировать системные часы, я не могу запустить его внутри виртуальной машины. Но я мог бы запустить его внутри chroot или, я полагаю, мог бы запустить его внутри контейнера Linux для лучшей изоляции и безопасности.
Для этого мне необходимо:
- Определите, какие файлы требуются ntpd при настройке chroot-тюрьмы.
- Вот где я не знаю, что делать и как: конфигурация LXC, шаблон, куда поместить мои файлы для настройки контейнера и т.д.
- Запустите его с помощью
lxc-execute
Это возможно? Какими будут различные шаги для создания, запуска и управления таким контейнером?