Virtualização leve no Linux com isolamento do usuário

Quais tecnologias de virtualização Linux em Linux fornecem isolamento do usuário? Especificamente, quero que a raiz na máquina virtual não tenha nenhum privilégio no host.

Este não era o caso do LXC , mas era um objetivo a longo prazo. O isolamento de raiz está disponível nas versões recentes? Se sim, qual?

Além do LXC, qual é o status de isolamento de raiz para o OpenVZ, VServer e qualquer outro concorrente?

— Gilles 'SO- parar de ser mau'
fonte

O que você quer dizer com "não existe"? Precisa haver pelo menos um sistema de arquivos ou partição LV / comum em algum lugar e / ou um segmento de memória para a placa gráfica.

— Nils

@Nils No máximo, o usuário raiz na VM não deve ter mais privilégios do que o usuário host que está invocando a VM.

— Gilles 'SO- stop be evil'

A maioria das soluções de virtualização "leves" são mais ou menos baseadas na ideia chroot - com processos ocultos do "mestre". Eu não vi nenhum CERT sobre problemas lá, mas isso não parece ser o que você está procurando.

Uma abordagem do Hypervisor pode ser mais a direção que você está procurando - mas eu não consideraria isso como "leve" (também um PV XEN DomU é bem rápido). A rigor, o Dom0 não inicia o DomU - diz ao Hypervisor para fazê-lo -, mas existem CERTs sobre escalação de privilégios (VMWare ESX e XEN). Eu não sei sobre o Hyper-V, no entanto.

Para um melhor isolamento dos direitos do usuário - onde existe um processo no espaço do usuário que gera uma VM "isolada", existe o VirtualBox - mas, novamente - não é leve. Isso é virtualização completa, mas as VMs podem ser iniciadas como usuário "normal". O usuário precisa ter acesso ao disco subjacente - e se você quiser / precisar - dispositivos USB.

Além disso, existe um módulo do kernel para o material de rede, que parece funcionar muito bem (usando o DKMS).

— Nils
fonte