第 9 章安全 Linux 容器

Linux 容器(LXC)是一种低级虚拟化功能，允许您在一个系统上同时运行同一服务的多个副本。与完全虚拟化相比，容器不需要整个新系统进行引导，可以使用较少的内存，并且能够以只读方式使用基础操作系统。例如，LXC 允许您同时运行多个 Web 服务器，各自拥有自己的数据，同时共享系统数据，甚至以 root 用户身份运行。但是，在容器内运行特权进程可能会影响容器外运行的其他进程，或者在其他容器中运行的进程。保护 Linux 容器使用 SELinux 上下文，因此可防止在其中运行的进程相互交互或与主机交互。

Docker 应用程序是 Red Hat Enterprise Linux 中管理 Linux 容器的主要实用程序。另外，您还可以使用 libvirt 软件包提供的 virsh 命令行工具。