dokumentasi<Sebelum | Contents [show] | Seterusnya>
6.16.1. Panggilan sistem yang boleh dieksploitasi
Ia adalah ciri bekas teras yang kontena berkongsi kernel dengan hos. Oleh itu, jika kernel mengandungi sebarang sistem yang boleh dieksploitasi, panggilan kontena boleh mengeksploitasi ini juga. Setelah kontena mengawal kernel, ia boleh mengawal sepenuhnya mana-mana sumber yang diketahui oleh hos.
Memandangkan Ubuntu 12.10 (Quantal) bekas juga boleh dikekang oleh penapis seccomp. Seccomp ialah ciri kernel baharu yang menapis panggilan sistem yang mungkin digunakan oleh tugas dan anak-anaknya. Walaupun pengurusan dasar yang dipertingkatkan dan dipermudahkan dijangka dalam masa terdekat, dasar semasa terdiri daripada senarai putih ringkas nombor panggilan sistem. Fail dasar bermula dengan nombor versi (yang mesti 1) pada baris pertama dan jenis dasar (yang mesti 'senarai putih') pada baris kedua. Ia diikuti dengan senarai nombor, satu setiap baris.
Secara umum untuk menjalankan bekas pengedaran penuh sejumlah besar panggilan sistem akan diperlukan. Walau bagaimanapun untuk bekas aplikasi mungkin boleh mengurangkan bilangan panggilan sistem yang tersedia kepada beberapa sahaja. Malah untuk bekas sistem yang menjalankan pengedaran penuh keuntungan keselamatan mungkin diperoleh, contohnya dengan mengalih keluar panggilan sistem keserasian 32-bit dalam bekas 64-bit. Lihat halaman manual lxc.container.conf untuk butiran tentang cara mengkonfigurasi bekas untuk menggunakan seccomp. Secara lalai, tiada dasar seccom dimuatkan.