容器
sandboxie和容器区别
sandboxie沙盘 和 云端的异同点:
sandboxie是单向玻璃,只向一面透光。
云端则是普通的双向玻璃。
沙盘中运行的软件,能够通过虚拟区域读取系统中的数据,但系统的软件不能读取沙盘的数据。
云端运行的软件,则可以通过虚拟区域和系统中软件,进行互相访问。
系统是一张纸,虚拟区域就是放在纸上的虚拟区域。软件透过玻璃读取纸上的内容,但不能直接写入数据。
虚拟化重定向技术,将软件的读写操作,指向一块虚拟区域。保护真实系统不会被随意篡改。
VPS 轻量级容器
轻量级容器 又称作 Virtual Private Servers (VPS) 或 Jails,它们是经常用于限制不可信应用程序或用户的工具。
Linux 容器是根据几种 Linux 技术构建的概念性工件: 资源名称空间 允许在容器内部查找进程、文件、SYSV IPC 资源、网络接口等等。
控制组(Control groups)允许限制放置到容器中的资源。
功能绑定(Capability bounding)设置 限制容器的访问特权。 必须协调使用这些技术,以实现符合设想的容器。
目前已有两个项目提供这个功能: Libvirt 是能够使用 Xen 管理程序、qemu 模拟器、kvmis 甚至是轻量级容器创建虚拟机的大型项目。
容器测试
Liblxc 是一个较小的库和用户空间命令集合,它们的目的之一是帮助内核开发人员快速轻松地测试容器的功能。
容器与安全模块关系
轻量级容器没有提供充分的安全保证。使用 SELinux 或 Smack 策略增强这些容器之后,就可以在 Linux中实现更加安全的容器。