เอกสาร<ก่อนหน้านี้ | เนื้อหา | ถัดไป>
6.16.1. การเรียกระบบที่ใช้ประโยชน์ได้
เป็นคุณลักษณะคอนเทนเนอร์หลักที่คอนเทนเนอร์ใช้เคอร์เนลร่วมกับโฮสต์ ดังนั้นหากเคอร์เนลมีระบบการเรียกช่องโหว่ใด ๆ คอนเทนเนอร์ก็สามารถใช้ประโยชน์จากสิ่งเหล่านี้ได้เช่นกัน เมื่อคอนเทนเนอร์ควบคุมเคอร์เนลแล้ว จะสามารถควบคุมทรัพยากรใดๆ ที่โฮสต์รู้จักได้อย่างเต็มที่
ตั้งแต่ Ubuntu 12.10 (Quantal) คอนเทนเนอร์สามารถถูกจำกัดโดยตัวกรอง seccomp Seccomp เป็นคุณลักษณะเคอร์เนลใหม่ที่กรองการเรียกของระบบซึ่งอาจใช้โดยงานและรายการย่อย ในขณะที่คาดว่าจะมีการจัดการนโยบายที่ดีขึ้นและง่ายขึ้นในอนาคตอันใกล้ นโยบายปัจจุบันประกอบด้วยรายการที่อนุญาตพิเศษของหมายเลขโทรของระบบ ไฟล์นโยบายเริ่มต้นด้วยหมายเลขเวอร์ชัน (ซึ่งต้องเป็น 1) ในบรรทัดแรกและประเภทนโยบาย (ซึ่งต้องเป็น "รายการที่อนุญาต") ในบรรทัดที่สอง ตามด้วยรายการตัวเลข หนึ่งหมายเลขต่อบรรทัด
โดยทั่วไปในการรันคอนเทนเนอร์การแจกจ่ายแบบเต็ม จำเป็นต้องมีการเรียกระบบจำนวนมาก อย่างไรก็ตาม สำหรับคอนเทนเนอร์แอปพลิเคชัน อาจลดจำนวนการเรียกระบบที่มีอยู่ให้เหลือเพียงไม่กี่ครั้งเท่านั้น แม้กระทั่งสำหรับคอนเทนเนอร์ของระบบที่รันการรักษาความปลอดภัยแบบกระจายแบบเต็มก็อาจได้รับ ตัวอย่างเช่น การลบการเรียกของระบบที่เข้ากันได้แบบ 32 บิตในคอนเทนเนอร์แบบ 64 บิต ดูหน้าคู่มือ lxc.container.conf สำหรับรายละเอียดวิธีกำหนดค่าคอนเทนเนอร์เพื่อใช้ seccomp โดยค่าเริ่มต้น ไม่มีการโหลดนโยบาย seccomp