Documentazione<Precedenti | Contenuti | Succ.>
6.9. Armatura
LXC viene fornito con un profilo Apparmor predefinito destinato a proteggere l'host da abusi accidentali di privilegi all'interno del contenitore. Ad esempio, il contenitore non sarà in grado di scrivere su / proc / sysrq-trigger o per la maggior parte / sistema File.
. usr.bin.lxc-start il profilo viene inserito eseguendo lxc-start. Questo profilo impedisce principalmente lxc-start dal montaggio di nuovi filesystem al di fuori del filesystem radice del contenitore. Prima di eseguire le operazioni del contenitore init, LXC richiede un passaggio al profilo del contenitore. Per impostazione predefinita, questo profilo è il lxc-contenitore-default politica che è definita in /etc/apparmor.d/lxc/lxc-default. Questo profilo impedisce al contenitore di accedere a molti percorsi pericolosi e di montare la maggior parte dei filesystem.
I programmi in un contenitore non possono essere ulteriormente confinati: ad esempio, MySQL viene eseguito sotto il profilo del contenitore (proteggendo l'host) ma non sarà in grado di accedere al profilo MySQL (per proteggere il contenitore).