Dokumentation5.12. Apparmor
LXD begrenzt Container standardmäßig mit einem Apparmor-Profil, das Container untereinander und den Host vor Containern schützt. Dadurch wird beispielsweise verhindert, dass Root in einem Container Root in einem anderen Container signalisiert, obwohl beide dieselbe UID-Zuordnung haben. Es verhindert auch das Schreiben in gefährliche Dateien ohne Namespace wie viele Sysctls und / proc / sysrq-trigger.
Wenn die Apparmor-Richtlinie für einen Container für einen Container c1 geändert werden muss, können bestimmte Apparmor-Richtlinienzeilen im Konfigurationsschlüssel „raw.apparmor“ hinzugefügt werden.