何がsystemd-nspawnを「安全なコンテナ設定に適さない」のでしょうか？

これは、systemd-nspawnの manページに記載されています

これらのセキュリティ予防措置が講じられているにもかかわらず、systemd-nspawnは安全なコンテナのセットアップには適していないことに注意してください。セキュリティ機能の多くは回避される可能性があるため、コンテナからホストシステムへの偶発的な変更を避けるために主に役立ちます。このプログラムの使用目的は、ブートとシステム管理に関連するパッケージ、ディストリビューション、およびソフトウェアの構築だけでなく、デバッグとテストです。

この質問は2011年にメーリングリストで続けて尋ねられましたが、答えは時代遅れのようです。

systemd-nspawnにはCLONE_NEWNET、--private-network現在このオプションを使用して実行するコードが含まれています。これは、プライベートカバーすると思われるAF_UNIX名前空間の問題を、と私は推測CAP_NET_RAWしてCAP_NET_BIND問題が言及しました。

この時点でどのような問題が残っており、systemd-nspawn現在できることに加えて、たとえばLXCは何をしていますか？

LXCは、コンテナを非特権ユーザーとして実行できるため、少し優れています。これはsystemd-nspawnで可能ですが、（複数ではなく）1人のユーザーのみが必要なシナリオの場合のみです。これは、コンテナシナリオのマルチプロセスでは困難または安全性が低い場合があります。docker、lxc、およびsystemd-nspawnが本質的に強固なセキュリティメカニズムではない理由を知りたい場合は、https：//opensource.com/business/14/7/docker-security-selinuxを読んでください。基本的に、コンテナは引き続きカーネルにアクセスでき、カーネルエクスプロイトはマシン全体を制御します。Linuxのようなモノリシックカーネルでは、カーネルの悪用は珍しくありません。