Documentación<Anterior | Contenido | Siguiente>
6.9. Apparmor
LXC se envía con un perfil Apparmor predeterminado destinado a proteger al host de usos indebidos accidentales de privilegios dentro del contenedor. Por ejemplo, el contenedor no podrá escribir en / proc / sysrq-trigger o para la mayoría / sistema archivos.
La usr.bin.lxc-inicio el perfil se ingresa corriendo lxc-inicio. Este perfil previene principalmente lxc-inicio de montar nuevos sistemas de archivos fuera del sistema de archivos raíz del contenedor. Antes de ejecutar el contenedor init, LXC solicita un cambio al perfil del contenedor. Por defecto, este perfil es el lxc-contenedor-predeterminado política que se define en /etc/apparmor.d/lxc/lxc-default. Este perfil evita que el contenedor acceda a muchas rutas peligrosas y monte la mayoría de los sistemas de archivos.
Los programas en un contenedor no se pueden limitar más; por ejemplo, MySQL se ejecuta bajo el perfil del contenedor (protegiendo el host) pero no podrá ingresar al perfil MySQL (para proteger el contenedor).