>>>> единственными нормальными контейнерами в плане изоляции
>>>> были OpenVZ-шные
>>> и чем же OpenVZ-контейнеры безопасней тех, что на базе cgroups?
>> Изоляцией.
> поясните, пожалуйста, раз вы специалист в этом вопросе ovz изначально делался для хостинга, т.е. для агрессивной с обеих сторон среды с осуществляемыми атаками как извне на контейнер и хост, так и из контейнера на хост (неважно, вследствие "заинтересованного" ли или проломленного пользователя).
cgroups -- это те ошмётки технологии, которые успели попасть в ядро, пока их туда ещё пропихивали разработчики ovz. Без ubc, без вычитки (которая местами попала отдельно, но вся ли -- мне неизвестно).
lxc -- это те ошмётки управления, которые лет десять назад сделал IBM (очень напоминали то ли набросок, то ли кусок большей и не опубликованной разработки, но тут точней мне сказать нечего).
PS: вот на этой точке подумал и позвонил xemul@; он прокомментировал так, что в ovz был kmem accounting (для меня это часть ubc) и "что-то там насчёт рута в контейнере, но вроде в lxc это тоже затыкали"; ещё упомянул про user namespaces (на что я удивился, памятуя неприятные CVE по ним, но Паша говорит, что вроде уже позатыкали тоже). То есть сейчас, если правильно понимаю, где-то на уровне -- в том числе и потому, что vz7 переехал на уже заапстримленное, а не продолжил "ту" разработку на "том" уровне (это моя оценка, не его).
PPS: ну очень смешному автору удалённого #24 могу отметить, что ответственность за угробленный проект openvz несёт также тот полутруп, которого традиционно "по рреволюционным нуждам" попытались порешить "свои" же (пиджаку запаса РХБЗ слышать о высокоточечном применении ОМП особенно забавно, остальное даёт корреляционный анализ аналогичных случаев). Да, у доброго и умнейшего Кирилла Колышкина не хватило мудрости отличить вопли от действительности и он простодушно понауехал, в отличие от подначивавших _других_ к тому уродов. Не делайте так, проверяйте загодя, исполняют ли вопящие сами то, к чему призывают.