Documentação<Anterior | Conteúdo | Próxima>
6.9. Apparmor
LXC vem com um perfil de Apparmor padrão destinado a proteger o host de uso indevido acidental de privilégio dentro do contêiner. Por exemplo, o contêiner não será capaz de escrever para / proc / sysrq-trigger ou para a maioria / sistema arquivos.
O usr.bin.lxc-start perfil é inserido executando lxc-start. Este perfil evita principalmente lxc-start de montar novos sistemas de arquivos fora do sistema de arquivos raiz do contêiner. Antes de executar o contêiner o init, LXC solicita uma mudança para o perfil do contêiner. Por padrão, este perfil é o lxc-container-default política que é definida em /etc/apparmor.d/lxc/lxc-default. Este perfil evita que o contêiner acesse muitos caminhos perigosos e monte a maioria dos sistemas de arquivos.
Os programas em um contêiner não podem ser mais confinados - por exemplo, o MySQL é executado no perfil do contêiner (protegendo o host), mas não será capaz de entrar no perfil do MySQL (para proteger o contêiner).