<Предыдущая | Содержание: | Следующая>
5.12. Одежда
LXD по умолчанию ограничивает контейнеры профилем apparmor, который защищает контейнеры друг от друга, а хост - от контейнеров. Например, это не позволит root в одном контейнере передавать сигналы root в другом контейнере, даже если у них одинаковое отображение uid. Это также предотвращает запись в опасные файлы без пространства имен, такие как многие sysctl и / proc / sysrq-триггер.
Если политика apparmor для контейнера должна быть изменена для контейнера c1, определенные строки политики apparmor могут быть добавлены в конфигурационный ключ raw.apparmor.