<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Thanks for this detailed information,
      Stéphane.<br>
      Well, it seems I'm heading towards Ubuntu :-)<br>
      <br>
      Cheers,<br>
      JFL<br>
      Le 27/03/2013 20:14, Stéphane Graber a écrit :<br>
    </div>
    <blockquote cite="mid:5153451C.9050502@ubuntu.com" type="cite">
      <pre wrap="">On 03/27/2013 01:49 PM, Jean-François Leroux wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">Thanks for your input.
So basically, if I can define cgroup.limits, drop capabilities, etc. I
shall have about the same security as with Ubuntu ?

JFL
</pre>
      </blockquote>
      <pre wrap="">
The main addition Ubuntu does to securing apparmor, outside of trying to
lead the work to get user namespaces is the apparmor integration.

You won't be able to get safe LXC containers if you don't have apparmor
support in your kernel and use something based on the apparmor profiles
we ship in Ubuntu.

Assuming that just using cgroup limits and dropping capabilities will
give you secure container is wrong, until we get user namespaces, you
need something like apparmor before you can call a container as safe.

I'm not sure what's the state of apparmor in Debian nowadays but last I
checked, LXC in Debian wasn't shipping with the apparmor integration.


</pre>
      <blockquote type="cite">
        <pre wrap="">Le 27/03/2013 01:32, Fajar A. Nugraha a écrit :
</pre>
        <blockquote type="cite">
          <pre wrap="">On Wed, Mar 27, 2013 at 10:56 AM, Jean-François Leroux
<<a class="moz-txt-link-abbreviated" href="mailto:leroux.jeanfrancois@gmail.com">leroux.jeanfrancois@gmail.com</a> <a class="moz-txt-link-rfc2396E" href="mailto:leroux.jeanfrancois@gmail.com"><mailto:leroux.jeanfrancois@gmail.com></a>>
wrote:

    Hi all,
    I'm rather new to LXC (although I've been using it for two years now)
    and have some questions about security. I know many of these have been
    discussed in various websites, but I'd like to get advice from real
    users - and many articles I've read may be outdated.

    1) I've read that lxc wasn't secure because anyone with root access on
    the container might have access to the host. Is it true with ssh
    access
    (I mean no console)?


Distros like Ubuntu overcome that problem using cgroups limits,
capability drop, and apparmor. When setup properly (e.g. created using
default template with distro-bundled kernel and tools), AFAIK it
should be secure-enough.

Note that the above might not apply on manual installation. For
example, if you install lxc on top of Centos6 with custom kernel and
hand-made container config file.
 

    2) Which capabilities would you drop for web servers were users have
    www-data access?


No idea. The defaults works for me.
 

    3) What are/would be the danger of running lxc in production servers?


I'd say it's roughly the same "danger" as running your production
servers on top any virtualization products.
 

    Many thanks for your input. :-)

    JFL

    PS: I'm planning on running lxc (squeeze) containers inside debian
    hosts.


I'd suggest Ubuntu instead. It's more integrated and easier. Of course
if you're familiar-enough and know how to make the necessary changes,
any distro will do.

-- 
Fajar
</pre>
        </blockquote>
        <pre wrap="">


------------------------------------------------------------------------------
Own the Future-Intel&reg; Level Up Game Demo Contest 2013
Rise to greatness in Intel's independent game demo contest.
Compete for recognition, cash, and the chance to get your game 
on Steam. $5K grand prize plus 10 genre and skill prizes. 
Submit your demo by 6/6/13. <a class="moz-txt-link-freetext" href="http://p.sf.net/sfu/intel_levelupd2d">http://p.sf.net/sfu/intel_levelupd2d</a>



_______________________________________________
Lxc-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Lxc-users@lists.sourceforge.net">Lxc-users@lists.sourceforge.net</a>
<a class="moz-txt-link-freetext" href="https://lists.sourceforge.net/lists/listinfo/lxc-users">https://lists.sourceforge.net/lists/listinfo/lxc-users</a>

</pre>
      </blockquote>
      <pre wrap="">

</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">------------------------------------------------------------------------------
Own the Future-Intel&reg; Level Up Game Demo Contest 2013
Rise to greatness in Intel's independent game demo contest.
Compete for recognition, cash, and the chance to get your game 
on Steam. $5K grand prize plus 10 genre and skill prizes. 
Submit your demo by 6/6/13. <a class="moz-txt-link-freetext" href="http://p.sf.net/sfu/intel_levelupd2d">http://p.sf.net/sfu/intel_levelupd2d</a></pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Lxc-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Lxc-users@lists.sourceforge.net">Lxc-users@lists.sourceforge.net</a>
<a class="moz-txt-link-freetext" href="https://lists.sourceforge.net/lists/listinfo/lxc-users">https://lists.sourceforge.net/lists/listinfo/lxc-users</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>