Documentatie6.9. Uiterlijk
LXC wordt geleverd met een standaard Apparmor-profiel dat bedoeld is om de host te beschermen tegen onbedoeld misbruik van privileges in de container. Er kan bijvoorbeeld niet naar de container worden geschreven / proc / sysrq-trigger of voor de meesten /sys bestanden.
De usr.bin.lxc-start profiel wordt ingevoerd door te rennen lxc-begin. Dit profiel voorkomt vooral lxc-begin van het mounten van nieuwe bestandssystemen buiten het rootbestandssysteem van de container. Voordat u de container uitvoert init, LXC vraagt om een overstap naar het containerprofiel. Standaard is dit profiel de lxc-container-default beleid dat is vastgelegd in /etc/apparmor.d/lxc/lxc-default. Dit profiel voorkomt dat de container toegang krijgt tot veel gevaarlijke paden en dat de meeste bestandssystemen worden gemount.
Programma's in een container kunnen niet verder worden beperkt - MySQL draait bijvoorbeeld onder het containerprofiel (om de host te beschermen), maar kan het MySQL-profiel niet betreden (om de container te beschermen).