OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

lxc-execute לא נכנס לפרופיל Apparmor, אבל המיכל שהוא מולידה יהיה מוגבל. 6.9.1. התאמה אישית של מדיניות מיכל

אם אתה מוצא את זה lxc-start נכשל עקב גישה לגיטימית שנדחית על ידי מדיניות Apparmor שלה, אתה יכול להשבית את פרופיל lxc-start על ידי ביצוע:


sudo apparmor_parser -R /etc/apparmor.d/usr.bin.lxc-start

sudo ln -s /etc/apparmor.d/usr.bin.lxc-start /etc/apparmor.d/disabled/


זה יעשה lxc-start לרוץ ללא הגבלה, אך להמשיך להגביל את המיכל עצמו. אם ברצונך גם להשבית את החסימה של המכולה, בנוסף לביטול ה- usr.bin.lxc-start פרופיל, עליך להוסיף:


lxc.aa_profile = לא מוגבל


לקובץ התצורה של המכולה.


LXC נשלח עם כמה מדיניות חלופית למכולות. אם ברצונך להפעיל קונטיינרים בתוך קונטיינרים (קינון), אז אתה יכול להשתמש בפרופיל lxc-container-default-with-nesting על ידי הוספת השורה הבאה לקובץ התצורה של הקונטיינר


lxc.aa_profile = lxc-container-default-with-kinning


אם ברצונך להשתמש ב-libvirt בתוך קונטיינרים, תצטרך לערוך את המדיניות הזו (שמוגדרת ב- /etc/ apparmor.d/lxc/lxc-default-with-nesting) על ידי ביטול ההערה לשורה הבאה:


mount fstype=cgroup -> /sys/fs/cgroup/**,


וטען מחדש את המדיניות.


שימו לב שמדיניות הקינון עם מיכלים מורשים היא הרבה פחות בטוחה ממדיניות ברירת המחדל, מכיוון שהיא מאפשרת למכולות לעלות מחדש / sys ו / proc במקומות לא סטנדרטיים, תוך עקיפת הגנות לבוש.

לקונטיינרים לא מורשים אין את החיסרון הזה מכיוון ששורש המכולה לא יכול לכתוב לשורש בבעלות proc

ו sys קבצים.


פרופיל נוסף שנשלח עם lxc מאפשר למכולות להעלות סוגי מערכות קבצים בלוק כמו ext4. זה יכול להיות שימושי במקרים מסוימים כמו אספקת maas, אבל הוא נחשב בדרך כלל לא בטוח מכיוון שמטפלי הסופרבלוק בקרנל לא נבדקו לטיפול בטוח בקלט לא מהימן.


אם אתה צריך להפעיל קונטיינר בפרופיל מותאם אישית, תוכל ליצור פרופיל חדש תחת /etc/apparmor.d/ lxc/. השם שלו חייב להתחיל ב lxc- על מנת ש lxc-start כדי להיות רשאי לעבור לפרופיל זה. ה lxc- ברירת מחדל הפרופיל כולל את קובץ ההפשטות לשימוש חוזר /etc/apparmor.d/abstractions/lxc/container- base. לכן דרך קלה להתחיל פרופיל חדש היא לעשות את אותו הדבר, ולאחר מכן להוסיף הרשאות נוספות בתחתית המדיניות שלך.


לאחר יצירת המדיניות, טען אותה באמצעות:


sudo apparmor_parser -r /etc/apparmor.d/lxc-containers


הפרופיל ייטען אוטומטית לאחר אתחול מחדש, מכיוון שהוא מקורו על ידי הקובץ /etc/apparmor.d/ lxc-containers. לבסוף, להכין מיכל CN להשתמש בחדש הזה lxc-CN-profile, הוסף את השורה הבאה לקובץ התצורה שלו:



lxc.aa_profile = lxc-CN-profile


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: