<Trước | Nội dung | Tiếp theo>

6.9. Apparmor‌

LXC xuất xưởng với cấu hình Apparmor mặc định nhằm bảo vệ máy chủ khỏi việc vô tình lạm dụng đặc quyền bên trong vùng chứa. Ví dụ: vùng chứa sẽ không thể ghi vào / proc / sysrq-trigger hoặc hầu hết /sys các tập tin.

Sản phẩm usr.bin.lxc-bắt đầu hồ sơ được nhập bằng cách chạy bắt đầu lxc. Hồ sơ này chủ yếu ngăn chặn bắt đầu lxc từ việc gắn các hệ thống tệp mới bên ngoài hệ thống tệp gốc của vùng chứa. Trước khi thực hiện vùng chứa trong đó, LXC yêu cầu chuyển sang hồ sơ của vùng chứa. Theo mặc định, hồ sơ này là lxc-container-mặc định chính sách được xác định trong /etc/apparmor.d/lxc/lxc-default. Cấu hình này ngăn vùng chứa truy cập vào nhiều đường dẫn nguy hiểm và gắn kết hầu hết các hệ thống tệp.

Các chương trình trong vùng chứa không thể bị giới hạn thêm - ví dụ: MySQL chạy trong hồ sơ vùng chứa (bảo vệ máy chủ) nhưng sẽ không thể vào hồ sơ MySQL (để bảo vệ vùng chứa).

<Trước | Nội dung | Tiếp theo>