ドキュメント6.9. アパレル
LXC には、コンテナ内での特権の誤用からホストを保護することを目的としたデフォルトの Apparmor プロファイルが付属しています。 たとえば、コンテナは以下に書き込むことができなくなります。 / proc / sysrq-トリガー またはほとんどの人に /システム ファイル。
当学校区の usr.bin.lxc-start プロファイルは実行して入力されます lxc-スタート。 このプロファイルは主に次のことを防ぎます。 lxc-スタート コンテナのルート ファイル システムの外部に新しいファイル システムがマウントされないようにします。 コンテナを実行する前に、 INIT, LXC コンテナのプロファイルへの切り替えを要求します。 デフォルトでは、このプロファイルは lxc-コンテナ-デフォルト で定義されているポリシー /etc/apparmor.d/lxc/lxc-default。 このプロファイルは、コンテナーが多くの危険なパスにアクセスしたり、ほとんどのファイルシステムをマウントしたりすることを防ぎます。
コンテナ内のプログラムをさらに制限することはできません。たとえば、MySQL はコンテナ プロファイル (ホストを保護する) で実行されますが、MySQL プロファイルに入る (コンテナを保護する) ことはできません。