Documentation<Précédent | Table des matières | Suivant>
6.9. Apparence
LXC est livré avec un profil Apparmor par défaut destiné à protéger l'hôte contre les abus accidentels de privilège à l'intérieur du conteneur. Par exemple, le conteneur ne pourra pas écrire dans / proc / sysrq-trigger ou au plus /sys fichiers.
La usr.bin.lxc-start le profil est entré en exécutant lxc-démarrage. Ce profil empêche principalement lxc-démarrage du montage de nouveaux systèmes de fichiers en dehors du système de fichiers racine du conteneur. Avant d'exécuter le conteneur init, LXC demande un basculement vers le profil du conteneur. Par défaut, ce profil est le lxc-conteneur-par défaut politique qui est définie dans /etc/apparmor.d/lxc/lxc-default. Ce profil empêche le conteneur d'accéder à de nombreux chemins dangereux et de monter la plupart des systèmes de fichiers.
Les programmes dans un conteneur ne peuvent pas être davantage confinés - par exemple, MySQL s'exécute sous le profil du conteneur (protégeant l'hôte) mais ne pourra pas entrer dans le profil MySQL (pour protéger le conteneur).