เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
6.16 ความปลอดภัย
เนมสเปซจับคู่รหัสกับทรัพยากร โดยการไม่ให้คอนเทนเนอร์ id ใด ๆ ที่ใช้อ้างอิงทรัพยากร ทรัพยากรสามารถได้รับการปกป้อง นี่เป็นพื้นฐานของการรักษาความปลอดภัยสำหรับผู้ใช้คอนเทนเนอร์ ตัวอย่างเช่น เนมสเปซ IPC จะถูกแยกออกโดยสมบูรณ์ อย่างไรก็ตาม เนมสเปซอื่นๆ มีหลากหลาย การรั่วไหลของ ซึ่งอนุญาตให้ใช้สิทธิ์อย่างไม่เหมาะสมจากคอนเทนเนอร์ไปยังคอนเทนเนอร์อื่นหรือไปยังโฮสต์
โดยค่าเริ่มต้น คอนเทนเนอร์ LXC จะเริ่มต้นภายใต้นโยบาย Apparmor เพื่อจำกัดการดำเนินการบางอย่าง รายละเอียดของการรวม AppArmor กับ lxc อยู่ในส่วนที่ 6.9, “Apparmor” [p. 368]. ตู้คอนเทนเนอร์ไร้สิทธิ์
ไปต่อด้วยการแมปรูทในคอนเทนเนอร์กับ ID ผู้ใช้โฮสต์ที่ไม่มีสิทธิพิเศษ สิ่งนี้จะป้องกันการเข้าถึง / proc และ / ระบบ ไฟล์ที่แสดงทรัพยากรของโฮสต์ เช่นเดียวกับไฟล์อื่นๆ ที่รูทเป็นเจ้าของบนโฮสต์