Documentação<Anterior | Conteúdo | Próxima>
6.16. Segurança
Um namespace mapeia ids para recursos. Ao não fornecer a um contêiner qualquer id com o qual fazer referência a um recurso, o recurso pode ser protegido. Essa é a base de parte da segurança oferecida aos usuários do contêiner. Por exemplo, os namespaces IPC são completamente isolados. Outros namespaces, no entanto, têm vários vazamentos que permitem que o privilégio seja exercido de forma inadequada de um contêiner para outro contêiner ou para o host.
Por padrão, os contêineres LXC são iniciados sob uma política do Apparmor para restringir algumas ações. Os detalhes da integração do AppArmor com lxc estão na seção Seção 6.9, “Apparmor” [pág. 368]. Recipientes não privilegiados
vá além mapeando a raiz no contêiner para uma ID de usuário de host sem privilégios. Isso impede o acesso a / proc e / sistema arquivos que representam recursos do host, bem como quaisquer outros arquivos pertencentes ao root no host.