文件记录6.9. 服装
LXC 附带一个默认的 Apparmor 配置文件,旨在保护主机免受容器内特权的意外滥用。 例如,容器将无法写入 / proc / sysrq触发 或者大多数人 /系统 文件。
这个 usr.bin.lxc-启动 通过运行输入配置文件 LXC-开始. 此配置文件主要防止 LXC-开始 从在容器的根文件系统之外安装新的文件系统。 在执行容器之前 初始化, LXC 请求切换到容器的配置文件。 默认情况下,此配置文件是 lxc-容器-默认 政策定义在 /etc/apparmor.d/lxc/lxc-default. 此配置文件可防止容器访问许多危险路径,以及安装大多数文件系统。
容器中的程序不能被进一步限制——例如,MySQL 在容器配置文件(保护主机)下运行,但无法进入 MySQL 配置文件(以保护容器)。