Dokumentasi<Sebelumnya | Konten | Selanjutnya>
6.16. Keamanan
Namespace memetakan id ke sumber daya. Dengan tidak menyediakan wadah id apa pun yang dapat digunakan untuk mereferensikan sumber daya, sumber daya dapat dilindungi. Ini adalah dasar dari beberapa keamanan yang diberikan kepada pengguna kontainer. Misalnya, ruang nama IPC benar-benar terisolasi. Ruang nama lain, bagaimanapun, memiliki berbagai kebocoran yang memungkinkan hak istimewa untuk diberikan secara tidak tepat dari wadah ke wadah lain atau ke host.
Secara default, wadah LXC dimulai di bawah kebijakan Apparmor untuk membatasi beberapa tindakan. Detail integrasi AppArmor dengan lxc ada di bagian Bagian 6.9, “Apparmor” [hal. 368]. Wadah yang tidak diprioritaskan
melangkah lebih jauh dengan memetakan root dalam wadah ke userid host yang tidak memiliki hak istimewa. Ini mencegah akses ke / proc dan / sy file yang mewakili sumber daya host, serta file lain yang dimiliki oleh root di host.