เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
6.9. Apparmor
LXC จัดส่งด้วยโปรไฟล์ Apparmor เริ่มต้นที่มีจุดประสงค์เพื่อปกป้องโฮสต์จากการใช้สิทธิ์ในทางที่ผิดโดยไม่ได้ตั้งใจภายในคอนเทนเนอร์ ตัวอย่างเช่น คอนเทนเนอร์จะไม่สามารถเขียนถึง / proc / sysrq-trigger หรือมากที่สุด / ระบบ ไฟล์
การขอ usr.bin.lxc-เริ่มต้น โปรไฟล์ถูกป้อนโดยการเรียกใช้ lxc-เริ่มต้น. โปรไฟล์นี้ส่วนใหญ่ป้องกัน lxc-เริ่มต้น จากการติดตั้งระบบไฟล์ใหม่นอกระบบไฟล์รูทของคอนเทนเนอร์ ก่อนดำเนินการคอนเทนเนอร์ของ init, LXC ขอเปลี่ยนเป็นโปรไฟล์ของคอนเทนเนอร์ โดยค่าเริ่มต้น โปรไฟล์นี้คือ lxc-คอนเทนเนอร์-ค่าเริ่มต้น นโยบายที่กำหนดไว้ใน /etc/apparmor.d/lxc/lxc-default. โปรไฟล์นี้ป้องกันไม่ให้คอนเทนเนอร์เข้าถึงเส้นทางอันตรายจำนวนมาก และติดตั้งระบบไฟล์ส่วนใหญ่
ไม่สามารถจำกัดโปรแกรมในคอนเทนเนอร์ได้อีก ตัวอย่างเช่น MySQL ทำงานภายใต้โปรไฟล์คอนเทนเนอร์ (ปกป้องโฮสต์) แต่จะไม่สามารถเข้าสู่โปรไฟล์ MySQL ได้ (เพื่อป้องกันคอนเทนเนอร์)