6.16.1. 悪用可能なシステムコール
コンテナがホストとカーネルを共有するのは、コンテナのコア機能です。 したがって、カーネルに悪用可能なシステム コールが含まれている場合、コンテナもこれらを悪用する可能性があります。 コンテナがカーネルを制御すると、ホストが認識しているリソースを完全に制御できるようになります。
Ubuntu 12.10 (Quantal) 以降、コンテナーは seccomp フィルターによって制限することもできます。 Seccomp は、タスクとその子によって使用される可能性のあるシステム コールをフィルタリングする新しいカーネル機能です。 近い将来、ポリシー管理が改善され簡素化されることが予想されますが、現在のポリシーはシステム コール番号の単純なホワイトリストで構成されています。 ポリシー ファイルは、最初の行がバージョン番号 (1 である必要があります) で始まり、XNUMX 行目がポリシー タイプ (「ホワイトリスト」である必要があります) で始まります。 その後に、XNUMX 行に XNUMX つずつ数字のリストが続きます。
一般に、完全なディストリビューション コンテナを実行するには、多数のシステム コールが必要になります。 ただし、アプリケーション コンテナの場合は、使用可能なシステム コールの数を少数に減らすことができる場合があります。 完全なディストリビューションを実行しているシステム コンテナの場合でも、たとえば 32 ビット コンテナ内の 64 ビット互換システム コールを削除することによって、セキュリティが向上する可能性があります。 seccomp を使用するようにコンテナを設定する方法の詳細については、lxc.container.conf マニュアル ページを参照してください。 デフォルトでは、seccomp ポリシーはロードされません。