Documentación<Anterior | Contenido | Siguiente>
6.16. Seguridad
Un espacio de nombres asigna ID a recursos. Al no proporcionar a un contenedor ningún ID con el que hacer referencia a un recurso, el recurso puede protegerse. Ésta es la base de parte de la seguridad que se brinda a los usuarios de contenedores. Por ejemplo, los espacios de nombres de IPC están completamente aislados. Otros espacios de nombres, sin embargo, tienen varios fugas que permiten que el privilegio se ejerza de manera inapropiada desde un contenedor a otro contenedor o al anfitrión.
De forma predeterminada, los contenedores LXC se inician bajo una política de Apparmor para restringir algunas acciones. Los detalles de la integración de AppArmor con lxc se encuentran en la sección Sección 6.9, “Apparmor” [p. 368]. Contenedores sin privilegios
vaya más allá asignando la raíz en el contenedor a un ID de usuario de host sin privilegios. Esto evita el acceso a / proc y / sistema archivos que representan los recursos del host, así como cualquier otro archivo propiedad de root en el host.