Ви не писали, чому ви обираєте LXC, оскільки це не найбезпечніше рішення для віртуалізації. Я важкий користувач KVM / XEN, а також LXC, і я можу сказати це одне, що, коли мова заходить про безпеку, я ніколи не йду з контейнерами Linux (незалежно від того, чи LXC / OpenVZ / VServer). З KVM / XEN це просто простіше (і надійніше).
Якщо мова йде про вимоги до продуктивності або обладнання, то нормально - ви можете спробувати з LXC, але є деякі правила, яких слід дотримуватися:
- libvirt забезпечує суворе обмеження контейнерів при використанні SELinux (завдяки LXC_driver) - не впевнений, хоча це лише випадок RHEL / Centos / Fedora (я не дуже використовую Ubuntu / Debian) https://www.redhat.com/archives /libvir-list/2012-January/msg01006.html - тож перехід із SELinux - це гарна ідея (на мою думку, це "повинно бути" за таких обставин)
- Встановіть суворі правила для груп, щоб ваші гості не змусили вашого господаря замерзати або впливати на інші контейнери
- Я б краще пішов з контейнерами на основі LVM - це завжди ще один рівень "безпеки"
- Подумайте про мережеве рішення та архітектуру. Чи повинні ці контейнери спілкуватися один з одним?
Почніть з читання цього - воно досить старе, але все ж - є багато знань. А також - зустрічайте простори імен користувачів
І після цього все подумайте ще раз - чи дійсно у вас так багато часу, щоб грати з безпекою LXC? KVM просто набагато простіше ...