Virtualización ligera en Linux con aislamiento de usuario

¿Qué tecnologías de virtualización Linux-on-Linux proporcionan aislamiento al usuario? Específicamente, quiero que la raíz en la máquina virtual no tenga ningún privilegio en el host.

Este no fue el caso de LXC , pero fue un objetivo a largo plazo. ¿El aislamiento raíz está disponible en versiones recientes? Si es así, ¿cuál?

Además de LXC, ¿cuál es el estado del aislamiento de raíz para OpenVZ, VServer y cualquier otro competidor?

— Gilles 'SO- deja de ser malvado'
fuente

¿Qué quieres decir con "ninguno"? Debe haber al menos un sistema de archivos común o LV / partición en algún lugar y / o un segmento de memoria para la tarjeta gráfica.

— Nils

@Nils Como máximo, el usuario raíz en la VM no debe tener más privilegios que el usuario host que invoca la VM.

— Gilles 'SO- deja de ser malvado'

La mayoría de las soluciones de virtualización "ligeras" se basan más o menos en la idea chroot, con procesos ocultos del "maestro". No vi ningún CERT sobre problemas allí, pero esto no parece ser lo que estás buscando.

Un enfoque de hipervisor podría ser más la dirección que está buscando, pero no lo consideraría como "ligero" (también un PV XEN DomU es bastante rápido). Estrictamente hablando, el Dom0 no inicia el DomU, le dice al Hipervisor que lo haga, pero ha habido algunos CERT sobre la escalada de privilegios (VMWare ESX y XEN). Sin embargo, no sé sobre Hyper-V.

Para un mejor aislamiento de los derechos del usuario, donde hay un proceso de espacio de usuario que genera una VM "aislada", está VirtualBox, pero de nuevo, no es liviano. Esto es virtualización completa, pero las máquinas virtuales se pueden iniciar como usuarios "normales". El usuario debe tener acceso al disco subyacente, y si lo desea / necesita, dispositivos usb.

Aparte de eso, hay un módulo de núcleo para las cosas de redes, que parece funcionar bastante bien (usando DKMS).

— Nils
fuente