Dokumentasi<Sebelumnya | Konten | Selanjutnya>
6.9. Pakaian
LXC dikirimkan dengan profil Apparmor default yang dimaksudkan untuk melindungi host dari penyalahgunaan hak istimewa yang tidak disengaja di dalam wadah. Misalnya, wadah tidak akan dapat menulis ke / proc / sysrq-trigger atau untuk sebagian besar / sy file.
Grafik usr.bin.lxc-mulai profil dimasukkan dengan menjalankan lxc-mulai. Profil ini terutama mencegah lxc-mulai dari memasang sistem file baru di luar sistem file root penampung. Sebelum mengeksekusi container's init, LXC meminta peralihan ke profil penampung. Secara default, profil ini adalah lxc-wadah-default kebijakan yang didefinisikan dalam /etc/apparmor.d/lxc/lxc-default. Profil ini mencegah penampung mengakses banyak jalur berbahaya, dan memasang sebagian besar sistem file.
Program dalam wadah tidak dapat dibatasi lebih lanjut - misalnya, MySQL berjalan di bawah profil wadah (melindungi host) tetapi tidak akan dapat masuk ke profil MySQL (untuk melindungi wadah).