一个ubuntu服务器在不同的域上托管3个应用程序.
每个应用都有自己的开发人员.
应用程序开发人员属于 linux“sftp”组.
chroot允许每个app开发者使用密码sftp访问.
每个应用都有自己的开发人员.
应用程序开发人员属于 linux“sftp”组.
chroot允许每个app开发者使用密码sftp访问.
/home/app1/prod /home/app2/prod /home/app3/prod
在sshd_config中
Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no
我们关注的是一个应用程序中的编程漏洞导致其他2个应用程序出现问题.
我们应该使用lxc容器而不是chroot吗?为什么? lxc容器的更改是否对应用程序开发人员透明?
Linux Containers(LXC)是一种操作系统级虚拟化方法,用于在单个控制主机上运行多个隔离的服务器安装(容器). LXC不提供虚拟机,而是提供具有自己的进程和网络空间的虚拟环境.它类似于chroot,但提供更多的隔离.
Linux容器有几个特性/优点:
好处:
与chroot(chroot jail)相比,隔离性更好.
低开销. LXC在RAM和硬盘空间方面使用最少的资源,而无需在虚拟机(VMWare / VirtualBox / KVM)中安装客户操作系统.
应用程序和服务(服务器)以本机速度运行.
libvirt中支持Linux容器.
Linux容器可以很好地与btrfs配合使用.
但也有一个缺点:
Linux容器在Linux内核上运行Linux进程.这意味着您可以运行Linux(Ubuntu主机上的Fedora容器),但不能运行其他操作系统(非BSD / OSX / Windows).
没有用于配置或管理容器的GUI(图形)接口.
关于如何安装和配置容器的文档很少.配置容器需要适度的技术知识和技能(以及大量的耐心).