Dokumentation6.9. Apparmor
LXC wird mit einem Standard-Apparmor-Profil ausgeliefert, das den Host vor versehentlichem Missbrauch von Berechtigungen innerhalb des Containers schützen soll. Beispielsweise kann der Container nicht beschrieben werden / proc / sysrq-trigger oder für die meisten /sys Dateien.
Das usr.bin.lxc-start Das Profil wird durch Ausführen eingegeben lxc-Start. Dieses Profil verhindert hauptsächlich lxc-Start durch das Mounten neuer Dateisysteme außerhalb des Root-Dateisystems des Containers. Vor der Ausführung des Containers init, LXC fordert einen Wechsel zum Profil des Containers an. Standardmäßig ist dieses Profil das lxc-container-default Richtlinie, die in definiert ist /etc/apparmor.d/lxc/lxc-default. Dieses Profil verhindert, dass der Container auf viele gefährliche Pfade zugreift und die meisten Dateisysteme mountet.
Programme in einem Container können nicht weiter eingeschränkt werden – MySQL läuft beispielsweise unter dem Containerprofil (zum Schutz des Hosts), kann aber nicht auf das MySQL-Profil zugreifen (zum Schutz des Containers).