Dokumentation6.16. Sicherheit
Ein Namespace ordnet IDs Ressourcen zu. Indem einem Container keine ID bereitgestellt wird, mit der er auf eine Ressource verweisen kann, kann die Ressource geschützt werden. Dies ist die Grundlage für einen Teil der Sicherheit, die Containerbenutzern geboten wird. Beispielsweise sind IPC-Namespaces vollständig isoliert. Andere Namensräume haben jedoch andere Lecks Dadurch können Berechtigungen unangemessen von einem Container auf einen anderen Container oder auf den Host übertragen werden.
Standardmäßig werden LXC-Container unter einer Apparmor-Richtlinie gestartet, um einige Aktionen einzuschränken. Die Details der AppArmor-Integration mit lxc finden Sie in Abschnitt Abschnitt 6.9, „Apparmor“ [S. 368]. Unprivilegierte Container
Gehen Sie noch einen Schritt weiter, indem Sie root im Container einer unprivilegierten Host-Benutzer-ID zuordnen. Dies verhindert den Zugriff auf / proc und /sys Dateien, die Host-Ressourcen darstellen, sowie alle anderen Dateien, die Root auf dem Host besitzt.