Jak komu :-) , já to radši zavřu do plnotučného virtuálu a tohle všechno se rázem vyřeší samo z principu. I když taky jsem už podlehl a spouštím si doma přes LXC popelnici na Steam. :-)
No jestli doma bezis s mitigations=off, tak Ti to muze byt sumak - taky tak bezim virtualizovanou workstation. Jinak bych se teda KVM vyhnul obrovskym obloukem, kdyz po tom reseni chci (jako vzdycky) vyladeny pomer cena/vykon.
Jinak v soucasne dobe se kontejnerizaci v jadre venuje jen par premotivovanych lidi z Canonicalu, kteri ale nepremysli nad vecma koncepcne, oni jsou na tom jeste hur - pro ne primarne existuji quick hacky jako defaultni modus operandi, ne ze by jako my "nestihali". Treba takovy Chris Brauner, jeho prace je vylozene bezkoncepcni hura-styl - ono to asi s vanilla linuxem jinak nejde.
Tady bych si teda trochu rejpnul, protože hned to první řešení "prostě nebudeme účtovat mapovanou paměť do memcg členů" je přesně takový quick hack (a upřímně jsem docela čekal to, co je popsané hned o pár řádků níž - že to udělá bordel někde jinde)
Ja to jako rejpnuti nevidim, protoze to, ze to nejspis nebude fungovat, jsme cekali vsichni (vc. Aithera, ktery byva vuci mym quickhackum docela ve spravnych pripadech skepticky :D).
Proto se ujala driv a rozsirila tak moc... ne ze by slo o nejakou uzasnou security navic nebo tak (nakonec se ukazuje ve svetle Spectre a podobnych zranitelnosti, ze to borci s tim tvrzenim, ze je fullvirt bezpecnejsi, dost nabubrele prehaneli).
To je hodně zavádějící argument, kontejnery na Spectre a podobné trpí úplně stejně jako plná virtualizace. Takže pro porovnávání zbývá jen to ostatní a tam je na tom plná virtualizace pořád líp.
Tak to sotva. Prvni level flushuje caches - a pak se prepnes na program, ktery zase flushuje caches a az ten vybira, ktery ten uzivatelsky program, kvuli kterym je ten stroj vubec pusteny, pobezi.
Fullvirt hypervizor nemuze z techhle mitigaci vyjit dobre, protoze je to dalsi uroven task switchingu, kde se musi davat bacha, aby neco neleakovalo :)
/snajpa