Documentación<Anterior | Contenido | Siguiente>
6.16.1. Llamadas explotables al sistema
Es una característica central del contenedor que los contenedores comparten un núcleo con el host. Por lo tanto, si el kernel contiene llamadas al sistema explotables, el contenedor también puede explotarlas. Una vez que el contenedor controla el kernel, puede controlar completamente cualquier recurso conocido por el host.
Desde Ubuntu 12.10 (Quantal), un contenedor también puede estar restringido por un filtro seccomp. Seccomp es una nueva función del kernel que filtra las llamadas al sistema que pueden ser utilizadas por una tarea y sus hijos. Si bien se espera una gestión de políticas mejorada y simplificada en un futuro próximo, la política actual consiste en una lista blanca simple de números de llamada del sistema. El archivo de política comienza con un número de versión (que debe ser 1) en la primera línea y un tipo de política (que debe ser 'lista blanca') en la segunda línea. Le sigue una lista de números, uno por línea.
En general, para ejecutar un contenedor de distribución completo, se necesitará una gran cantidad de llamadas al sistema. Sin embargo, para los contenedores de aplicaciones, es posible reducir el número de llamadas al sistema disponibles a solo unas pocas. Incluso para los contenedores del sistema que ejecutan una distribución completa, se pueden obtener ganancias de seguridad, por ejemplo, eliminando las llamadas al sistema de compatibilidad de 32 bits en un contenedor de 64 bits. Consulte la página del manual lxc.container.conf para obtener detalles sobre cómo configurar un contenedor para usar seccomp. De forma predeterminada, no se carga ninguna política seccomp.