ডকুমেন্টেশন<পূর্ববর্তী | বিষয়বস্তু | পরবর্তী>
৬.১৬.১. শোষণযোগ্য সিস্টেম কল
এটি একটি মূল ধারক বৈশিষ্ট্য যা কন্টেইনার হোস্টের সাথে একটি কার্নেল ভাগ করে। তাই যদি কার্নেলে কোনো শোষণযোগ্য সিস্টেম কল থাকে তবে ধারকটিও এগুলিকে শোষণ করতে পারে। একবার ধারকটি কার্নেলকে নিয়ন্ত্রণ করলে এটি হোস্টের কাছে পরিচিত যে কোনও সংস্থান সম্পূর্ণরূপে নিয়ন্ত্রণ করতে পারে।
যেহেতু উবুন্টু 12.10 (কোয়ান্টাল) একটি ধারককে একটি সেককম ফিল্টার দ্বারাও সীমাবদ্ধ করা যেতে পারে। Seccomp হল একটি নতুন কার্নেল বৈশিষ্ট্য যা সিস্টেম কল ফিল্টার করে যা একটি টাস্ক এবং এর বাচ্চাদের দ্বারা ব্যবহার করা যেতে পারে। যদিও অদূর ভবিষ্যতে উন্নত এবং সরলীকৃত নীতি ব্যবস্থাপনা প্রত্যাশিত, বর্তমান নীতিতে সিস্টেম কল নম্বরগুলির একটি সাধারণ সাদা তালিকা রয়েছে৷ নীতি ফাইলটি প্রথম লাইনে একটি সংস্করণ নম্বর (যা অবশ্যই 1 হতে হবে) এবং দ্বিতীয় লাইনে একটি নীতির ধরন (যা 'হোয়াইটলিস্ট' হতে হবে) দিয়ে শুরু হয়। এটি সংখ্যার একটি তালিকা দ্বারা অনুসরণ করা হয়, প্রতি লাইনে একটি।
সাধারণভাবে একটি সম্পূর্ণ ডিস্ট্রিবিউশন কন্টেইনার চালানোর জন্য প্রচুর সংখ্যক সিস্টেম কলের প্রয়োজন হবে। তবে অ্যাপ্লিকেশন কন্টেইনারগুলির জন্য উপলব্ধ সিস্টেম কলের সংখ্যা কমিয়ে কয়েকটিতে করা সম্ভব হতে পারে। এমনকি সিস্টেম কন্টেইনারগুলির জন্য একটি পূর্ণ বন্টন নিরাপত্তা লাভ হতে পারে, উদাহরণস্বরূপ, একটি 32-বিট কন্টেইনারে 64-বিট সামঞ্জস্যতা সিস্টেম কলগুলি সরিয়ে দিয়ে। seccomp ব্যবহার করার জন্য কীভাবে একটি ধারক কনফিগার করতে হয় তার বিশদ বিবরণের জন্য lxc.container.conf ম্যানুয়াল পৃষ্ঠাটি দেখুন। ডিফল্টরূপে, কোনো seccomp নীতি লোড হয় না।