dokumentasi<Sebelum | Contents [show] | Seterusnya>
6.16. Keselamatan
Ruang nama memetakan id kepada sumber. Dengan tidak menyediakan bekas sebarang id untuk merujuk sumber, sumber itu boleh dilindungi. Ini adalah asas beberapa keselamatan yang diberikan kepada pengguna kontena. Sebagai contoh, ruang nama IPC diasingkan sepenuhnya. Ruang nama lain, bagaimanapun, mempunyai pelbagai kebocoran yang membenarkan keistimewaan diberikan secara tidak wajar daripada bekas ke dalam bekas lain atau kepada hos.
Secara lalai, bekas LXC dimulakan di bawah dasar Apparmor untuk menyekat beberapa tindakan. Butiran integrasi AppArmor dengan lxc adalah dalam bahagian Seksyen 6.9, “Apparmor” [hlm. 368]. Bekas yang tidak bernasib baik
pergi lebih jauh dengan memetakan akar dalam bekas ke id pengguna hos yang tidak mempunyai hak istimewa. Ini menghalang akses kepada / proc and / sys fail yang mewakili sumber hos, serta mana-mana fail lain yang dimiliki oleh root pada hos.