私は、中央 GNU/Linux サーバーを使用している大規模なグループ (学術部門) のメンバーです。instiki などの Web アプリをインストールし、バージョン管理リポジトリを実行し、Web 経由でコンテンツを提供できるようにしたいと考えています。しかし、管理者はセキュリティ上の懸念からこれを許可しません。ハッキングされた場合に備えて、管理者が私をサンドボックス化し、サーバーを保護する方法はあるでしょうか。このような問題に対する標準的な解決策は何でしょうか。
答え1
これに対する標準的な解決策は仮想化特定の構成を含む仮想マシンを作成し、それを何らかのサーバーでホストします。
仮想化にはいくつかのレベルがあります。XEN HVM と Linux KVM は、ゲスト オペレーティング システムの変更されていないインスタンスを実行できるハイパーバイザーの例です。各インスタンスには独自のメモリが割り当てられ、コンピューターの残りのリソースは共有できます。
LXC、OpenVZ、Linux-VServer は、chroot ベースのサンドボックス化アプローチのより軽量な拡張機能です。このような場合の利点は、すべてのインスタンスがマシンの完全なリソースにアクセスできることです (許可されている場合)。ただし、すべてのインスタンスは、適切に拡張された共通のカーネルを共有します。この場合でも、Debian サーバーで別の Linux ディストリビューション インスタンスを実行することができます。
上記のすべての仮想マシン インスタンスから NFS に接続できます。