중요한 데이터를 처리하는 중요한 응용 프로그램이있는 임베디드 플랫폼에서 작업하고 있습니다. 나는이 응용 프로그램을 다른 응용 프로그램으로부터 보호하려고합니다. 그 때문에 나는 컨테이너를 생각해 냈습니다.Linux 컨테이너를 사용한 애플리케이션 격리?
Linux PC에 LXC를 사용하여 컨테이너를 설정했습니다. 그런 다음 컨테이너에서 응용 프로그램을 실행합니다. 컨테이너에서 컨테이너에서 실행중인 응용 프로그램에 액세스하거나 볼 수는 없지만 역순으로 수행 할 수 있습니다 (호스트에서 컨테이너의 응용 프로그램에 액세스 할 수 있음). 호스트 컴퓨터에서 컨테이너를 분리 할 수있는 방법이 있습니까? 대안이 있습니까?
호스트 컴퓨터에서 컨테이너를 분리 할 수있는 방법이 있습니까?
아니요. 다른 응용 프로그램이 포함 된 응용 프로그램의 데이터에 액세스하지 못하게하려면 다른 응용 프로그램이 포함되어야합니다. 하이퍼 바이저는 포함 된 모든 응용 프로그램을 통해 항상 작업에 필요한 모든 권한을 갖습니다.
할 수있는 2 가지 작업이 있습니다. 더 좋은 방법은 앱을 다른 사용자로 실행하고 메인 계정에 추가 사용자의 폴더 및 파일에 대한 액세스 권한을 부여하지 않는 것입니다. 두 번째 방법은 전체 시스템을 하위 폴더에 복사하고 chroot를 사용하는 것입니다.하지만 설치하기는 매우 어렵고 과도하게 힘들 것입니다.
호스트 컴퓨터에서 액세스 할 수 있으면 호스트 컴퓨터에서 실행중인 컨테이너에 액세스 할 수 있습니다.
Docker 이외의 다른 서비스를 실행하지 않고 최소한의 호스트 설치 만하고 다른 모든 서비스를 컨테이너에 할당하면 앱 컨테이너를 다른 서비스와 격리 된 상태로 유지할 수 있습니다.
주 (호스트 컴퓨터)에서 chroot-ed 응용 프로그램에 액세스 할 수 있습니다. 그렇지 않습니다. 이것이 내가 멈추려하는 것입니다. – Griffin
내가 의미 한 바는 : 부트 시간 동안 OS를 chroot하고 응용 프로그램을 chroot하지 말 것. –