>Контейнеры - ровно так же. Срубаются в два счета. А пруф? Например, образец сплойта который вышибет хоть тот же опенвз? Примеры сплойтов срубающих селинукс - я видел в местных новостях. И действительно - он выпиливается. А на хоть той же опнвзе такие сплойты вообще не срабатывают.
>Да-да, для использования уязвимости в модуле tun нужен модуль tun, как ни странно.
В моей опенвзовой конфигурации он был, это не помогло. Все-равно не работало. Без опенвзы на физической машине - как из пушки. Из взового контейнера почему-то не работает. Может быть, я тупой, или криворукий, или что-то не понимаю в этой жизни (вероятно, детали реализации контейнеризатора?). Или чего-то упустил из вида.
>Но методов запретить подгрузку модулей и без контейнеров навалом.
Контейнеры не позволяют шариться по хосту даже руту с как-бы-полными правами. Полнота его прав ограничивается его песочницей. Может быть это и мешает сплойту?
>А вы подумайте о том, что будет, если уязвимость обнаружится в разрешенном модуле.
В теории - ну да, вероятно можно поиметь. На практике - у меня почему-то сплойт вообще не отработал из контейнера. Кстати не помню, tun ли это девайс, еще была другая уязвимость с повышением прав IIRC. А так - дыры в ядре такого калибра к счастью редкость. Контейнер хорош еще и тем что это четко разграниченная сущность. Даже если в его правах где-то лопухнуться/софт дырявый - вред заведомо ограничится только этой песочницей. Да и резка ресурсов штатная и удобная фича.