6.16。 セキュリティー
名前空間はIDをリソースにマッピングします。コンテナにリソースを参照するためのIDを提供しないことで、リソースを保護することができます。これは、コンテナユーザーに提供されるセキュリティの一部の基盤です。たとえば、IPC名前空間は完全に分離されています。ただし、他の名前空間にはさまざまな 漏れ コンテナから別のコンテナまたはホストに権限が不適切に適用される可能性があります。
デフォルトでは、LXCコンテナはいくつかのアクションを制限するAppArmorポリシーの下で起動されます。lxcとAppArmorの統合の詳細については、セクション6.9「Apparmor」[p. 368]を参照してください。非特権コンテナ
さらに、コンテナ内のルートを非特権ホストユーザーIDにマッピングすることで、 / proc /システム ホスト リソースを表すファイル、およびホスト上の root が所有するその他のファイル。