文件记录lxc-execute 不会进入 Apparmor 配置文件,但它生成的容器将被限制。 6.9.1. 自定义容器策略
如果你发现 LXC-开始 由于合法访问被其 Apparmor 策略拒绝而失败,您可以通过执行以下操作禁用 lxc-start 配置文件:
须藤 apparmor_parser -R /etc/apparmor.d/usr.bin.lxc-start
须藤 ln -s /etc/apparmor.d/usr.bin.lxc-start /etc/apparmor.d/disabled/
这将使 LXC-开始 不受限制地运行,但继续限制容器本身。 如果您还希望禁用容器的限制,那么除了禁用 usr.bin.lxc-启动 个人资料,您必须添加:
lxc.aa_profile = 无限制
到容器的配置文件。
LXC 附带了一些容器的替代策略。 如果您希望在容器内运行容器(嵌套),那么您可以通过在容器配置文件中添加以下行来使用 lxc-container-default-with-nesting 配置文件
lxc.aa_profile = lxc-container-default-with-nesting
如果您希望在容器内使用 libvirt,则需要编辑该策略(定义在 /etc/apparmor.d/lxc/lxc-default-with-nesting) 通过取消注释以下行:
挂载 fstype=cgroup -> /sys/fs/cgroup/**,
并重新加载策略。
请注意,特权容器的嵌套策略远不如默认策略安全,因为它允许容器重新安装 /系统 和 / proc中 在非标准位置,绕过 apparmor 保护。
非特权容器没有这个缺点,因为容器根不能写入根拥有的 进程
和 系统 文件。
lxc 附带的另一个配置文件允许容器挂载块文件系统类型,如 ext4。 这在某些情况下可能很有用,例如 maas 配置,但通常被认为是不安全的,因为内核中的超级块处理程序尚未经过审核以安全处理不受信任的输入。
如果您需要在自定义配置文件中运行容器,您可以在下创建一个新配置文件 /etc/apparmor.d/lxc/. 它的名字必须以 LXC- 为了 LXC-开始 被允许过渡到该配置文件。 这 lxc-默认 配置文件包括可重用的抽象文件 /etc/apparmor.d/abstractions/lxc/container-base. 因此,启动新配置文件的一种简单方法是执行相同操作,然后在策略底部添加额外权限。
创建策略后,使用以下命令加载它:
须藤 apparmor_parser -r /etc/apparmor.d/lxc-containers
配置文件将在重新启动后自动加载,因为它来自文件 /etc/apparmor.d/lxc-containers. 最后,制作容器 CN 使用这个新 lxc-CN-简介, 将以下行添加到其配置文件中:
lxc.aa_profile = lxc-CN-配置文件