<div dir="ltr"><span style="color:rgb(136,136,136);font-size:14px">Fajar and Andrey,</span><br><div><span style="color:rgb(136,136,136);font-size:14px"><br></span></div><div><font color="#888888"><span style="font-size:14px">I run lxc-1.0 on embedded system and I don't have lxd on that platform. (i.e. I cross-compile lxc-1.0 from scratch no prebuild package available).  And yes I run container with root privilege .</span></font></div><div><font color="#888888"><span style="font-size:14px"><br></span></font></div><div><font color="#888888"><span style="font-size:14px">Can I have your mentioned features "</span></font><span style="font-size:14px">use separate u/gid range for each container" and "limits which device nodes (block and char) allowed in the container" without existence of lxd?</span></div><div><span style="font-size:14px"><br></span></div><div>TC WU</div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-05-10 11:24 GMT+08:00 Fajar A. Nugraha <span dir="ltr"><<a href="mailto:list@fajar.net" target="_blank">list@fajar.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Wed, May 10, 2017 at 4:22 AM, Andrey Repin <span dir="ltr"><<a href="mailto:anrdaemon@yandex.ru" target="_blank">anrdaemon@yandex.ru</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Greetings, T.C 吳天健!<br>
<span><br>
> Its said privileged container is unsecured . For example, if a user in the<br>
> container (suppose it's running a service toward the public) hack the system<br>
> with some kind of root kit.<br>
<br>
</span>This is not specifically correct. The road to compromising the container is<br>
rather thorny.<br>
Even if container is privileged and the container owner has root access inside<br>
the container, gaining any host advantage would be hard if not impossible,<br>
unless the host configuration is far from sane.<br>
<span><br>
> I am thinking of building a more secure container.  The first idea is to<br>
> use unprivileged container;  Second is apply cgroup to limit viewing of some<br>
> sensitive /dev files, and any recommendation?<br>
<br>
</span>LXD by default is "secure" in sense that even if container is compromised, the<br>
effective UID the container user is running from has no rights on the host.<br>
<br></blockquote><div><br></div></span><div>... and there's also the option in lxd to use separate u/gid range for each container (by default all unpriv lxd containers share the same u/gid range).</div><span class=""><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> Summary<br>
> -use unprivileged container<br>
<br>
Right.<br>
<span><br>
> -cgroup to limit viewing of some /dev files<br>
<br>
</span>Unnecessary in real-world application.<br>
<span class="m_2552819472885379481HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br></div></span><div>lxc and lxd already limits which device nodes (block and char) allowed in the container.</div><div><br></div><div>@T.C, what are your requirements/ideas that isn't already available in lxd?</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>-- </div><div>Fajar </div></font></span></div></div></div>
<br>______________________________<wbr>_________________<br>
lxc-users mailing list<br>
<a href="mailto:lxc-users@lists.linuxcontainers.org">lxc-users@lists.<wbr>linuxcontainers.org</a><br>
<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.<wbr>org/listinfo/lxc-users</a><br></blockquote></div><br></div>