文件记录6.16. 安全性
命名空间将 id 映射到资源。 通过不向容器提供任何引用资源的 id,可以保护资源。 这是为容器用户提供的一些安全性的基础。 例如,IPC 命名空间是完全隔离的。 然而,其他命名空间有不同的 泄漏 这允许将特权从一个容器不适当地施加到另一个容器或主机。
默认情况下,LXC 容器在 Apparmor 策略下启动以限制某些操作。 AppArmor 与 lxc 集成的详细信息在第 6.9 节“Apparmor”[p. 368]。 非特权容器
进一步将容器中的 root 映射到非特权主机用户 ID。 这会阻止访问 / proc中 和 /系统 代表主机资源的文件,以及主机上 root 拥有的任何其他文件。