Dokumentasi<Sebelumnya | Konten | Selanjutnya>
lxc-execute tidak memasuki profil Apparmor, tetapi wadah yang dihasilkannya akan dibatasi. 6.9.1. Menyesuaikan kebijakan kontainer
Jika Anda menemukan itu lxc-mulai gagal karena akses sah yang ditolak oleh kebijakan Apparmor-nya, Anda dapat menonaktifkan profil lxc-start dengan melakukan:
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.lxc-start
sudo ln -s /etc/apparmor.d/usr.bin.lxc-start /etc/apparmor.d/disabled/
Ini akan membuat lxc-mulai jalankan tanpa batas, tetapi terus batasi wadah itu sendiri. Jika Anda juga ingin menonaktifkan kurungan wadah, maka selain menonaktifkan usr.bin.lxc-mulai profil, Anda harus menambahkan:
lxc.aa_profile = tidak dibatasi
ke file konfigurasi container.
LXC dikirimkan dengan beberapa kebijakan alternatif untuk kontainer. Jika Anda ingin menjalankan container di dalam container (bersarang), maka Anda dapat menggunakan profil lxc-container-default-with-nesting dengan menambahkan baris berikut ke file konfigurasi container
lxc.aa_profile = lxc-container-default-dengan-sarang
Jika Anda ingin menggunakan libvirt di dalam wadah, maka Anda perlu mengedit kebijakan itu (yang didefinisikan dalam /etc/ apparmor.d/lxc/lxc-default-with-nesting) dengan menghapus komentar pada baris berikut:
mount fstype=cgroup -> /sys/fs/cgroup/**,
dan memuat ulang kebijakan.
Perhatikan bahwa kebijakan bersarang dengan wadah yang diistimewakan jauh lebih tidak aman daripada kebijakan default, karena memungkinkan wadah untuk dipasang kembali / sys dan / proc di lokasi yang tidak standar, melewati perlindungan apparmor.
Wadah yang tidak memiliki hak tidak memiliki kelemahan ini karena root wadah tidak dapat menulis ke milik root proc
dan sys file.
Profil lain yang dikirimkan dengan lxc memungkinkan wadah untuk memasang tipe sistem file blok seperti ext4. Ini dapat berguna dalam beberapa kasus seperti penyediaan maas, tetapi umumnya dianggap tidak aman karena penangan superblok di kernel belum diaudit untuk penanganan yang aman dari input yang tidak tepercaya.
Jika Anda perlu menjalankan wadah di profil khusus, Anda dapat membuat profil baru di bawah /etc/apparmor.d/lxc/. Namanya harus dimulai dengan lxc- agar lxc-mulai untuk diizinkan bertransisi ke profil itu. NS lxc- bawaan profile menyertakan file abstraksi yang dapat digunakan kembali /etc/apparmor.d/abstractions/lxc/container-base. Oleh karena itu, cara mudah untuk memulai profil baru adalah dengan melakukan hal yang sama, lalu menambahkan izin tambahan di bagian bawah kebijakan Anda.
Setelah membuat kebijakan, muat menggunakan:
sudo apparmor_parser -r /etc/apparmor.d/lxc-containers
Profil akan secara otomatis dimuat setelah reboot, karena bersumber dari file /etc/apparmor.d/ lxc-containers. Akhirnya, untuk membuat wadah CN gunakan yang baru ini lxc-CN-profil, tambahkan baris berikut ke file konfigurasinya:
lxc.aa_profile = lxc-CN-profil