Richard, thanks a lot for the clear answer. ;p. Would you recommend openvz if it is a hostile environment? What is the answer to the above two questions if it is openvz?<br><br>Regards,<br>Peter<br><br><div class="gmail_quote">
On Sun, Jun 17, 2012 at 6:09 PM, richard -rw- weinberger <span dir="ltr"><<a href="mailto:richard.weinberger@gmail.com" target="_blank">richard.weinberger@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">On Sun, Jun 17, 2012 at 11:46 AM, cheetah <<a href="mailto:xuwh06@gmail.com">xuwh06@gmail.com</a>> wrote:<br>
> Hi guys,<br>
><br>
> I am a newbie to lxc and preparing to deploy it in my production environment<br>
> to give each user a container. I have the following two concerns now.<br>
><br>
> 1. Can user load kernel modules in the guest container without influencing<br>
> the host kernel or other container's kernel? As far as I understand, all the<br>
> lxc containers share the same kernel of the host. So I am wondering if this<br>
> is possible?<br>
<br>
</div>He can if the user is root and has the proper capability.<br>
But then your are screwed.<br>
<div class="im"><br>
> 2. Or how is the container's security isolation? Can I give user root access<br>
> in the container? Is there any hack that he/she can use root in the<br>
> container to attack the host or other containers?<br>
<br>
</div>For now it's not recommend.<br>
The user namespace is not complete.<br>
Eric is working in that.<br>
<br>
IOW in hostile hosting environments LXC is not a good idea.<br>
That may be change in 3.6.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Thanks,<br>
//richard<br>
</font></span></blockquote></div><br>