ユーザー分離を備えたLinuxでの軽量仮想化

どのLinux-on-Linux仮想化テクノロジーがユーザー分離を提供しますか？具体的には、仮想マシンのルートにホストの権限を付与しないようにします。

これはLXCには当てはまりませんでしたが、長期的な目標でした。ルートの分離は最近のバージョンで利用できますか？もしそうなら、どれ？

LXCとは別に、OpenVZ、VServer、およびその他の候補のルート分離のステータスは何ですか？

ほとんどの「軽量」仮想化ソリューションは、多かれ少なかれchroot-ideaに基づいており、「マスター」からの隠れたプロセスを備えています。そこには問題に関するCERTはありませんでしたが、これはあなたが探しているものではないようです。

ハイパーバイザーのアプローチは、あなたが探している方向に近いかもしれませんが、私はそれを「軽量」とは見なしません（PV XEN DomUもかなり高速です）。厳密に言えば、Dom0はDomUを開始しません-これはHypervisorに開始するように指示します-しかし、特権昇格（VMWare ESXおよびXEN）に関するCERTがありました。ただし、Hyper-Vについては知りません。

ユーザー権利をより適切に分離するために、「分離された」VMを生成するユーザー空間プロセスがある場合、VirtualBoxがありますが、軽量ではありません。これは完全な仮想化ですが、VMは「通常の」ユーザーとして起動できます。ユーザーは、基盤となるディスクへのアクセス権を持っている必要があります-必要な場合は-usb-devices。

それとは別に、（DKMSを使用して）非常にうまく機能しているように見えるネットワーク関連のカーネルモジュールがあります。