<Trước | Nội dung | Tiếp theo>

6.16.1. Các lệnh gọi hệ thống có thể khai thác

Đây là một tính năng của bộ chứa cốt lõi mà các bộ chứa chia sẻ một hạt nhân với máy chủ. Do đó, nếu hạt nhân chứa bất kỳ lệnh gọi hệ thống có thể khai thác nào thì vùng chứa cũng có thể khai thác chúng. Một khi vùng chứa kiểm soát hạt nhân, nó có thể kiểm soát hoàn toàn bất kỳ tài nguyên nào mà máy chủ lưu trữ biết.

Kể từ Ubuntu 12.10 (Quantal), một vùng chứa cũng có thể bị giới hạn bởi bộ lọc seccomp. Seccomp là một tính năng hạt nhân mới lọc các lệnh gọi hệ thống có thể được sử dụng bởi một tác vụ và con của nó. Mặc dù việc quản lý chính sách được cải thiện và đơn giản hóa được mong đợi trong tương lai gần, chính sách hiện tại bao gồm một danh sách trắng đơn giản các số cuộc gọi hệ thống. Tệp chính sách bắt đầu bằng số phiên bản (phải là 1) trên dòng đầu tiên và loại chính sách (phải là 'danh sách trắng') trên dòng thứ hai. Tiếp theo là danh sách các số, mỗi số một dòng.

Nói chung để chạy một vùng chứa phân phối đầy đủ, sẽ cần một số lượng lớn các lệnh gọi hệ thống. Tuy nhiên, đối với các vùng chứa ứng dụng, có thể giảm số lượng lệnh gọi hệ thống khả dụng xuống chỉ còn một số. Ngay cả đối với các vùng chứa hệ thống đang chạy một mức bảo mật phân phối đầy đủ, chẳng hạn như bằng cách loại bỏ các lệnh gọi hệ thống tương thích 32 bit trong vùng chứa 64 bit. Xem trang hướng dẫn lxc.container.conf để biết chi tiết về cách định cấu hình vùng chứa để sử dụng seccomp. Theo mặc định, không có chính sách seccomp nào được tải.

<Trước | Nội dung | Tiếp theo>