Documentatie6.16. Veiligheid
Een naamruimte wijst ID's toe aan bronnen. Door een container geen ID te geven waarmee naar een bron kan worden verwezen, kan de bron worden beschermd. Dit is de basis van een deel van de beveiliging die aan containergebruikers wordt geboden. IPC-naamruimten zijn bijvoorbeeld volledig geïsoleerd. Andere naamruimten hebben echter verschillende lekken waardoor privileges op ongepaste wijze kunnen worden uitgeoefend vanuit een container naar een andere container of naar de host.
Standaard worden LXC-containers gestart onder een Apparmor-beleid om bepaalde acties te beperken. De details van de AppArmor-integratie met lxc vindt u in paragraaf 6.9, “Apparmor” [p. 368]. Onbevoorrechte containers
ga verder door root in de container toe te wijzen aan een host-gebruikers-ID zonder rechten. Dit verhindert de toegang tot / proc en /sys bestanden die hostbronnen vertegenwoordigen, evenals alle andere bestanden die eigendom zijn van root op de host.