<Precedenti | Contenuti | Succ.>
6.16.1. Chiamate di sistema sfruttabili
Una caratteristica fondamentale del contenitore è che i contenitori condividano un kernel con l'host. Pertanto, se il kernel contiene chiamate di sistema sfruttabili, anche il contenitore può sfruttare queste. Una volta che il contenitore controlla il kernel, può controllare completamente qualsiasi risorsa nota all'host.
A partire da Ubuntu 12.10 (Quantal) un contenitore può anche essere vincolato da un filtro seccomp. Seccomp è una nuova funzionalità del kernel che filtra le chiamate di sistema che possono essere utilizzate da un'attività e dai suoi figli. Anche se nel prossimo futuro si prevede una gestione delle politiche migliorata e semplificata, la politica attuale consiste in una semplice lista bianca di numeri di chiamata di sistema. Il file delle policy inizia con un numero di versione (che deve essere 1) sulla prima riga e un tipo di policy (che deve essere "whitelist") sulla seconda riga. È seguito da un elenco di numeri, uno per riga.
In generale, per eseguire un contenitore di distribuzione completo sarà necessario un gran numero di chiamate di sistema. Tuttavia per i contenitori di applicazioni potrebbe essere possibile ridurre il numero di chiamate di sistema disponibili solo a poche. Anche per i contenitori di sistema che eseguono una distribuzione completa si possono ottenere miglioramenti in termini di sicurezza, ad esempio rimuovendo le chiamate di sistema di compatibilità a 32 bit in un contenitore a 64 bit. Consulta la pagina man lxc.container.conf per i dettagli su come configurare un contenitore per utilizzare seccomp. Per impostazione predefinita, non viene caricata alcuna policy seccomp.