مستندات6.9. Apparmor
LXC با مشخصات پیشفرض Apparmor ارسال میشود تا میزبان را در برابر سوء استفاده تصادفی از امتیازات داخل کانتینر محافظت کند. به عنوان مثال، ظرف قادر به نوشتن در آن نخواهد بود / proc / sysrq-ماشه یا بیشتر / سیستم فایل های.
La usr.bin.lxc-start نمایه با اجرا وارد می شود lxc-start. این پروفایل عمدتاً مانع می شود lxc-start از نصب فایل سیستم های جدید خارج از سیستم فایل ریشه کانتینر. قبل از اجرای کانتینر init انجام, LXC درخواست تغییر به نمایه کانتینر می کند. به طور پیش فرض، این نمایه است lxc-container-default سیاستی که در /etc/apparmor.d/lxc/lxc-default. این نمایه مانع از دسترسی کانتینر به بسیاری از مسیرهای خطرناک و نصب اکثر سیستم های فایل می شود.
برنامه های موجود در یک کانتینر را نمی توان بیشتر محدود کرد - به عنوان مثال، MySQL تحت نمایه کانتینر اجرا می شود (محافظت از میزبان) اما نمی تواند به نمایه MySQL (برای محافظت از ظرف) وارد شود.