תיעוד6.16. ביטחון
מרחב שמות ממפה מזהים למשאבים. על ידי אי אספקת קונטיינר כל מזהה שבאמצעותו ניתן להפנות למשאב, ניתן להגן על המשאב. זהו הבסיס לחלק מהאבטחה הניתנת למשתמשי המכולה. לדוגמה, מרחבי השמות של IPC מבודדים לחלוטין. עם זאת, מרחבי שמות אחרים כוללים שונים הדלפות המאפשרות הפעלת הרשאות באופן לא הולם ממיכל לתוך מיכל אחר או למארח.
כברירת מחדל, מכולות LXC מופעלות תחת מדיניות Apparmor כדי להגביל פעולות מסוימות. הפרטים של שילוב AppArmor עם lxc נמצאים בסעיף 6.9, "Apparmor" [עמ'. 368]. מכולות ללא פריבילגיה
ללכת רחוק יותר על ידי מיפוי שורש ב-container ל-Userid של מארח ללא הרשאות. זה מונע גישה ל / proc ו / sys קבצים המייצגים משאבי מארח, כמו גם כל קבצים אחרים שבבעלות השורש במארח.