Dokumentasi<Sebelumnya | Konten | Selanjutnya>
6.16.1. Panggilan sistem yang dapat dieksploitasi
Ini adalah fitur wadah inti yang wadah berbagi kernel dengan host. Oleh karena itu jika kernel berisi panggilan sistem yang dapat dieksploitasi, wadah dapat mengeksploitasi ini juga. Setelah wadah mengontrol kernel, ia dapat sepenuhnya mengontrol sumber daya apa pun yang diketahui oleh host.
Sejak Ubuntu 12.10 (Quantal), sebuah wadah juga dapat dibatasi oleh filter seccomp. Seccomp adalah fitur kernel baru yang menyaring panggilan sistem yang mungkin digunakan oleh tugas dan turunannya. Sementara manajemen kebijakan yang ditingkatkan dan disederhanakan diharapkan dalam waktu dekat, kebijakan saat ini terdiri dari daftar putih sederhana nomor panggilan sistem. File kebijakan dimulai dengan nomor versi (yang harus 1) di baris pertama dan jenis kebijakan (yang harus 'daftar putih') di baris kedua. Ini diikuti oleh daftar nomor, satu per baris.
Secara umum untuk menjalankan wadah distribusi penuh, sejumlah besar panggilan sistem akan diperlukan. Namun untuk wadah aplikasi dimungkinkan untuk mengurangi jumlah panggilan sistem yang tersedia menjadi hanya beberapa. Bahkan untuk wadah sistem yang menjalankan distribusi penuh, keuntungan keamanan mungkin didapat, misalnya dengan menghapus panggilan sistem kompatibilitas 32-bit dalam wadah 64-bit. Lihat halaman manual lxc.container.conf untuk detail tentang cara mengkonfigurasi container untuk menggunakan seccomp. Secara default, tidak ada kebijakan seccomp yang dimuat.