Beitrag
von breakthewall » 02.01.2018 00:20:21
Nun wenn man allen Ernstes, jeden Systemdienst in eine VM packen will, dann wird das ausserordentlich kostspielig hinsichtlich der Hardware. Und nebenbei lohnt sich das nicht ansatzweise, oder besser gesagt gibt es keine Belege darüber, dass VMs sicherer wären als Containerlösungen. An und für sich ist es eine Glaubens -bzw. Geschmacksfrage, was nun als besser empfunden wird. Und egal wie man es nimmt, alle Lösungen können Sicherheitslücken haben, da sind auch VMs nicht davon ausgenommen.
Würde dir empfehlen dies auf Basis von Systemd zutun, zumal Systemd bereits alles mitbringt um Programme bzw. Systemdienste zu isolieren. Ist insbesondere für Anfänger bedeutend einfacher, und sehr fein einstellbar hinsichtlich der Restriktionen.
Doch vergessen sollte man auch niemals, dass das jeweils nur eine Schutzschicht darstellt, und echte Sicherheit stets aus mehreren Schutzschichten besteht. Sprich, man kann zusätzlich noch SELinux, AppArmor und anderweitiges nutzen. Die Mischung aus Sicherheitstechniken macht den Unterschied aus, zumal es eher unwahrscheinlich ist, dass alle Maßnahmen zeitgleich versagen.
Alternativ sofern Systemd nicht vorhanden ist, kann man ebenso auch LXC/LXD nutzen, oder auch bspw. Firejail um Systemdienste zu isolieren. Alles eine Frage was einem besser gefällt. Die Lösungen basieren ohnehin großteils auf denselben Kernel-Techniken.