Documentation<Précédent | Table des matières | Suivant>
6.16. Sécurité
Un espace de noms mappe les identifiants aux ressources. En ne fournissant à un conteneur aucun identifiant avec lequel référencer une ressource, la ressource peut être protégée. C'est la base d'une partie de la sécurité offerte aux utilisateurs de conteneurs. Par exemple, les espaces de noms IPC sont complètement isolés. D'autres espaces de noms, cependant, ont divers fuites qui permettent d'exercer de manière inappropriée le privilège d'un conteneur vers un autre conteneur ou vers l'hôte.
Par défaut, les conteneurs LXC sont démarrés sous une politique Apparmor pour restreindre certaines actions. Les détails de l'intégration d'AppArmor avec lxc se trouvent dans la section Section 6.9, « Apparmor » [p. 368]. Conteneurs non privilégiés
allez plus loin en mappant la racine dans le conteneur à un ID utilisateur d'hôte non privilégié. Cela empêche l'accès à / proc ainsi que /sys fichiers représentant les ressources de l'hôte, ainsi que tout autre fichier appartenant à root sur l'hôte.