FreeBSD Jails Security (Versus Podman)
a year ago
- #Containers
- #FreeBSD
- #Security
- FreeBSD Jails与Podman容器在安全性方面进行比较。
- Jails不需要最小化系统镜像,相比Podman减少了攻击面。
- 无论是'rootless'模式的Podman还是Jails,都使用虚拟root用户而非宿主机root。
- 即使没有额外安全层,Jails也能提供比Podman更好的隔离性。
- Jails默认限制FreeBSD内核系统调用,而Podman需依赖SELinux/seccomp实现类似功能。
- Jails可使用专用物理网络接口,而'rootless'模式的Podman无法实现。
- Jails可在内部运行独立防火墙,进一步提升安全性。
- Jails自199年投入生产环境,比Podman经受更长时间实战检验。
- FreeBSD的CVE漏洞数量(557-649个)显著少于Linux(10064个)。
- Jails年均0.7个CVE,Podman年均5个,表明Jails安全性更优。