¿Qué hace que systemd-nspawn siga siendo "inadecuado para configuraciones de contenedor seguras"?

Esto se indica en la página del manual para systemd-nspawn

Tenga en cuenta que, aunque se tomen estas precauciones de seguridad, systemd-nspawn no es adecuado para configuraciones de contenedores seguros. Muchas de las características de seguridad pueden eludirse y, por lo tanto, son principalmente útiles para evitar cambios accidentales en el sistema host desde el contenedor. El uso previsto de este programa es la depuración y prueba, así como la creación de paquetes, distribuciones y software relacionados con el arranque y la gestión de sistemas.

Esta misma pregunta se hizo posteriormente en la lista de correo en 2011 , pero la respuesta parece estar desactualizada.

systemd-nspawn contiene código para ejecutar CLONE_NEWNETusando la --private-networkopción ahora. Esto parece cubrir el AF_UNIXproblema del espacio de nombres privado , y supongo que los problemas CAP_NET_RAWy CAP_NET_BINDmencionados.

¿Qué problemas persisten en este momento y qué hace, por ejemplo, LXC además de lo que systemd-nspawnpuede hacer actualmente?

LXC es un poco mejor porque puede ejecutar contenedores como usuarios sin privilegios . Esto es posible con systemd-nspawn, pero solo para escenarios en los que solo necesita un usuario (en lugar de múltiples), lo que puede ser difícil o menos seguro para procesos múltiples en escenarios de contenedor. Si desea saber por qué docker, lxc y systemd-nspawn no son un mecanismo de seguridad sólido, lea esto: https://opensource.com/business/14/7/docker-security-selinux . Básicamente, los contenedores aún tienen acceso al kernel y cualquier explotación del kernel obtiene el control de toda la máquina. En un núcleo monolítico como Linux, las vulnerabilidades del núcleo no son infrecuentes.