Forum Linux.général Confiner un processus

Posté par .
Tags : aucun
3
24
mai
2010
Bonjour à tous,

Je recherche une solution simple et efficace pour confiner des processus. Idéalement, la solution, en dehors de l'isolation, permettrait :
  • une consommation de ressources supplémentaires faible
  • une administration aisée
  • éventuellement de pouvoir limité le processus en termes de consommation, mémoire, disque, cpu

Étant donné que mes besoins sont assez légers - en gros isoler un serveur Web, un serveur de base de données... - j'aurais tendance à disqualifier Xen et autres KVM. J'ai ainsi retenu :
  • Le chroot, qui par défaut n'apporte pas grand chose en termes de sécurité, mais le chroot patché via GRSecurity, qu'en pensez-vous ?
  • Les outils de contrôle d'accès, comme SELinux ou TOMOYO, pourraient-ils être suffisants ?
  • L'isolation lourde, c'est à dire par VServer ou OpenVZ. En termes de limites, cela me semble parfait. Cependant, le système de base est dupliqué, non partagé et donc à administrer spécifiquement.
  • Directement embarqué dans le noyau, il y a LGuest, un hyperviseur simple que j'ai découvert dans GLMF de novembre dernier. L'atout est sa nativité mais il s'agit d'un hyperviseur, comme KVM, ce qui me parait lourd dans mon cas.

Que me conseilleriez-vous ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.