<הקודם | תוכן | הבא>

6.9. הלבשה

LXC נשלח עם פרופיל Apparmor המוגדר כברירת מחדל שנועד להגן על המארח מפני שימוש לרעה בשוגג של הרשאות בתוך המכולה. לדוגמה, המיכל לא יוכל לכתוב אליו / proc / sysrq-trigger או לכל היותר / sys קבצים.

אל האני usr.bin.lxc-start הפרופיל מוכנס על ידי ריצה lxc-start. פרופיל זה מונע בעיקר lxc-start מהרכבת מערכות קבצים חדשות מחוץ למערכת הקבצים השורשית של המיכל. לפני ביצוע של המכולה init, LXC מבקש לעבור לפרופיל המכולה. כברירת מחדל, פרופיל זה הוא lxc-container-default מדיניות המוגדרת ב /etc/apparmor.d/lxc/lxc-default. פרופיל זה מונע מהמכולה לגשת לנתיבים מסוכנים רבים, ולהעלות את רוב מערכות הקבצים.

תוכניות בקונטיינר לא יכולות להיות מוגבלות יותר - למשל, MySQL פועל תחת פרופיל הקונטיינר (מגן על המארח) אך לא תוכל להיכנס לפרופיל MySQL (כדי להגן על הקונטיינר).

<הקודם | תוכן | הבא>