<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, May 10, 2017 at 4:22 AM, Andrey Repin <span dir="ltr"><<a href="mailto:anrdaemon@yandex.ru" target="_blank">anrdaemon@yandex.ru</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Greetings, T.C 吳天健!<br>
<span class=""><br>
> Its said privileged container is unsecured . For example, if a user in the<br>
> container (suppose it's running a service toward the public) hack the system<br>
> with some kind of root kit.<br>
<br>
</span>This is not specifically correct. The road to compromising the container is<br>
rather thorny.<br>
Even if container is privileged and the container owner has root access inside<br>
the container, gaining any host advantage would be hard if not impossible,<br>
unless the host configuration is far from sane.<br>
<span class=""><br>
> I am thinking of building a more secure container.  The first idea is to<br>
> use unprivileged container;  Second is apply cgroup to limit viewing of some<br>
> sensitive /dev files, and any recommendation?<br>
<br>
</span>LXD by default is "secure" in sense that even if container is compromised, the<br>
effective UID the container user is running from has no rights on the host.<br>
<br></blockquote><div><br></div><div>... and there's also the option in lxd to use separate u/gid range for each container (by default all unpriv lxd containers share the same u/gid range).</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> Summary<br>
> -use unprivileged container<br>
<br>
Right.<br>
<span class=""><br>
> -cgroup to limit viewing of some /dev files<br>
<br>
</span>Unnecessary in real-world application.<br>
<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br></div><div>lxc and lxd already limits which device nodes (block and char) allowed in the container.</div><div><br></div><div>@T.C, what are your requirements/ideas that isn't already available in lxd?</div><div><br></div><div>-- </div><div>Fajar </div></div></div></div>