Documentazione<Precedenti | Contenuti | Succ.>
6.16. Sicurezza
Uno spazio dei nomi esegue il mapping degli ID alle risorse. Non fornendo a un contenitore alcun ID con cui fare riferimento a una risorsa, la risorsa può essere protetta. Questa è la base di parte della sicurezza offerta agli utenti dei container. Ad esempio, gli spazi dei nomi IPC sono completamente isolati. Altri namespace, tuttavia, hanno vari perdite che consentono di esercitare in modo inappropriato il privilegio da un contenitore a un altro contenitore o all'host.
Per impostazione predefinita, i contenitori LXC vengono avviati in base a una politica Apparmor per limitare alcune azioni. I dettagli dell'integrazione di AppArmor con lxc sono nella sezione Sezione 6.9, «Apparmor» [p. 368]. Contenitori non privilegiati
andare oltre mappando root nel contenitore a un ID utente host non privilegiato. Questo impedisce l'accesso a / proc e / sistema file che rappresentano le risorse dell'host, così come qualsiasi altro file di proprietà di root sull'host.