Sobre aislamiento entre servicios (LXC y VM)

[Ethicalsk]

Buenas! Lei que una consideración importante de seguridad (en el caso de un servidor) es aislar cada servicio (por ejemplo HTTP, SMTP, SSH), en diferentes máquinas, tanto físicas como virtuales. Primero se me ocurrió utilizar LXC y utilizar un servicio en cada container, para poder tener aislados los servicios sin necesidad de más de un kernel. El problema que encontré en éste método es que dentro de cada container no se aplica la política de SELinux... Entonces me parece que la mejor alternativa es utilizar sistemas operativos separados por VM, asi en una VM tengo solo el servicio HTTP, con SELinux habilitado, reglas iptables, y asi por cada VM... En la segunda tendría SMTP con su SELinux y reglas propias de iptables... Me gustaría en primer lugar que me dijeran si éste esquema de seguridad que estoy planteando es eficiente o si hay formas de hacerlo aun mejor, y en segundo lugar que me recomendaran un buen hipervisor de linux para lo que necesito...

P.D.: Otra duda que me queda es la utilidad de LXC ya que en cada container no se aplican las políticas de SELinux, de forma que el mismo queda inutilizado y la seguridad se "degrada"

[darkvidhack]

No es por nada, pero no sería destinar muchos recursos? Una máquina virtual por cada servicio... es tedioso de mantener, además del gasto en infrastructura.

¿Podrías dejar el link donde leíste lo de separar cada servicio en diferentes máquinas? Me gustaría leerlo.

Saludos!

[engel lex]

No es por nada, pero no sería destinar muchos recursos? Una máquina virtual por cada servicio... es tedioso de mantener, además del gasto en infrastructura.

¿Podrías dejar el link donde leíste lo de separar cada servicio en diferentes máquinas? Me gustaría leerlo.

Saludos!

es un estilo standard, es lo que se hace comúnmente en los vps... esto depende del servicio a prestar