Sou membro de um grande grupo (departamento acadêmico) que usa um servidor GNU/Linux central. Gostaria de poder instalar aplicativos da web como instiki, executar repositórios de controle de versão e servir conteúdo pela web. Mas os administradores não permitirão isso devido a questões de segurança. Existe uma maneira de eles me colocarem em sandbox, protegendo seus servidores caso eu seja hackeado? Qual é a solução padrão para um problema como este?
Responder1
A solução padrão para isso évirtualização. Você cria uma máquina virtual contendo sua configuração específica e a hospeda em algum servidor.
Existem vários níveis diferentes de virtualização. XEN HVM e Linux KVM são exemplos de hipervisores que podem executar uma instância não modificada de um sistema operacional convidado. Cada instância recebe sua própria memória, o restante dos recursos do computador pode ser compartilhado.
LXC, OpenVZ e Linux-VServer são extensões mais leves da abordagem de sandboxing baseada em chroot. O benefício nesse caso é que todas as instâncias podem ter acesso a todos os recursos da máquina (se permitido), mas todas as instâncias compartilham um kernel comum adequadamente estendido. Mesmo neste caso você poderia ter uma instância de distribuição Linux diferente rodando em seu servidor Debian.
Você pode se conectar ao NFS a partir de todas as instâncias de máquinas virtuais acima.