dokumentasi<Sebelum | Contents [show] | Seterusnya>
lxc-execute tidak memasukkan profil Apparmor, tetapi bekas yang dihasilkannya akan dikurung. 6.9.1. Menyesuaikan dasar kontena
Sekiranya anda menjumpainya lxc-mula gagal kerana akses yang sah yang dinafikan oleh dasar Apparmornya, anda boleh melumpuhkan profil lxc-start dengan melakukan:
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.lxc-start
sudo ln -s /etc/apparmor.d/usr.bin.lxc-start /etc/apparmor.d/disabled/
Ini akan membuat lxc-mula berjalan tanpa terkurung, tetapi terus mengurung bekas itu sendiri. Jika anda juga ingin melumpuhkan kurungan bekas, maka sebagai tambahan kepada melumpuhkan usr.bin.lxc-start profil, anda mesti menambah:
lxc.aa_profile = tidak terkurung
ke fail konfigurasi bekas.
LXC dihantar dengan beberapa dasar alternatif untuk kontena. Jika anda ingin menjalankan bekas di dalam bekas (bersarang), maka anda boleh menggunakan profil lxc-container-default-with-nesting dengan menambahkan baris berikut pada fail konfigurasi kontena
lxc.aa_profile = lxc-bekas-lalai-dengan-bersarang
Jika anda ingin menggunakan libvirt di dalam bekas, maka anda perlu mengedit dasar tersebut (yang ditakrifkan dalam /etc/ apparmor.d/lxc/lxc-default-with-nesting) dengan menyahkomen baris berikut:
lekapkan fstype=cgroup -> /sys/fs/cgroup/**,
dan muat semula polisi.
Ambil perhatian bahawa dasar bersarang dengan bekas istimewa adalah jauh kurang selamat daripada dasar lalai, kerana ia membenarkan bekas untuk dipasang semula / sys and / proc di lokasi tidak standard, memintas perlindungan perisai.
Bekas yang tidak mempunyai keistimewaan tidak mempunyai kelemahan ini kerana akar kontena tidak boleh menulis kepada milik akar proc
and sys fail.
Profil lain yang dihantar dengan lxc membenarkan bekas untuk melekapkan jenis sistem fail blok seperti ext4. Ini boleh berguna dalam beberapa kes seperti peruntukan maas, tetapi dianggap secara amnya tidak selamat kerana pengendali superblock dalam kernel belum diaudit untuk pengendalian input yang tidak dipercayai dengan selamat.
Jika anda perlu menjalankan bekas dalam profil tersuai, anda boleh membuat profil baharu di bawah /etc/apparmor.d/ lxc/. Namanya mesti bermula dengan lxc- agar lxc-mula untuk dibenarkan beralih kepada profil tersebut. The lxc- lalai profil termasuk fail abstraksi yang boleh digunakan semula /etc/apparmor.d/abstractions/lxc/container- base. Oleh itu, cara mudah untuk memulakan profil baharu adalah dengan melakukan perkara yang sama, kemudian tambahkan kebenaran tambahan di bahagian bawah dasar anda.
Selepas membuat dasar, muatkannya menggunakan:
sudo apparmor_parser -r /etc/apparmor.d/lxc-containers
Profil akan dimuatkan secara automatik selepas but semula, kerana ia bersumberkan fail /etc/apparmor.d/ lxc-containers. Akhirnya, untuk membuat bekas CN guna baru ni lxc-CN-profil, tambah baris berikut pada fail konfigurasinya:
lxc.aa_profile = lxc-CN-profile