Bonjour,
Le Friday 22 April 2011 (09:13), Julien Gormotte écrivait :
On Thu, 21 Apr 2011 23:24:22 +0200, Jeremie Le Hen wrote:
J'insiste bien sur LXC, ça te permet de créer un chroot++. Les processus contenus dans le LXC (il s'agit d'ailleurs d'une technologie de "container") sont isolés du reste du système, ce qui :
- augmente la sécurité (même le root sur le LXC ne peut toucher aux
processus "extérieurs" au LXC) ;
- permet de mettre en place de la limitation de resources (via
des cgroups) ;
- facilite l'administration puisque tu as une Debian à part
entière dans ton LXC et que les processus ne se bind qu'aux IP disponibles dans le LXC (donc pas de configuration applicative).
Hum, donc très proche de ce qui se fait sur FreeBSD avec les Jails en apparence...
Au boulot, on a mis en place des vservers qui est un système similaire et, c'est très pratique pour l'administration (plus pratique qu'un chroot tout en offrant les mêmes facilitées et notamment une administration facile depuis le système hôte).
D'un point de vue sécurité, l'isolation est rassurante. Les outils d'analyse d'intégrité sont lancés depuis le système hôte (normalement non impacté en cas d'intrusion sur un système invité).
D'un point de vue performances, c'est comme si tout tournait sur la machine hôte. Je n'ai jamais noté de différence.
vservers ne sera plus supporté par la prochaine version de linux debian et il est conseillé de passer à LXC.
Je suis client par des pointeurs (doc utile, ...) et retours sur LXC.