เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
5.12. แอพอาร์เมอร์
LXD จำกัดคอนเทนเนอร์ตามค่าเริ่มต้นด้วยโปรไฟล์ apparmor ซึ่งปกป้องคอนเทนเนอร์จากกันและกันและโฮสต์จากคอนเทนเนอร์ ตัวอย่างเช่น การทำเช่นนี้จะป้องกันไม่ให้รูทในคอนเทนเนอร์หนึ่งส่งสัญญาณรูทในคอนเทนเนอร์อื่น แม้ว่าจะมีการแมป uid เดียวกัน นอกจากนี้ยังป้องกันการเขียนไปยังไฟล์ที่เป็นอันตรายและไม่มีเนมสเปซ เช่น sysctls และ . จำนวนมาก / proc / sysrq-trigger.
หากจำเป็นต้องแก้ไขนโยบาย apparmor สำหรับคอนเทนเนอร์สำหรับคอนเทนเนอร์ c1 คุณสามารถเพิ่มบรรทัดนโยบาย apparmor เฉพาะในคีย์การกำหนดค่า "raw.apparmor"