问systemd-n派生容器是否提供与FreeBSD监狱相同的安全保证？

EN

Systemd-n派生只管理孤立的进程。它不能隔离资源(系统可以)。

作为一个建设性的区别，在名称空间的情况下，您从没有隔离开始，您添加所需的任何东西-挂载、PID、网络、用户等等。在监狱中，您从一个合理的安全基线开始，因为进程、IPC、挂载和用户总是被隔离的。这并不意味着你不能达到相同的安全级别。

我们可以创建一个完全隔离的环境，它将自动监视/proc和/sys伪文件系统，并为PID创建一个隔离的回循环接口和单独的名称空间。从那里我们可以随心所欲。

为了限制隔离问题，我们可以使用systemctl：

systemctl set-property  CPUShares=80 CPUQuota=25% MemoryLimit=1024M

因此，最后，默认情况下，您没有相同级别的安全性，但可以达到相同的级别。在不久的将来，新种可能也会进化得更多。