Документация<Предыдущая | Содержание: | Следующая>
6.9. Апброн
LXC поставляется с профилем Apparmor по умолчанию, предназначенным для защиты хоста от случайного злоупотребления привилегиями внутри контейнера. Например, контейнер не сможет писать в / proc / sysrq-триггер или большинству /систем файлы.
В usr.bin.lxc-старт профиль вводится путем запуска lxc-старт. Этот профиль в основном предотвращает lxc-старт от монтирования новых файловых систем вне корневой файловой системы контейнера. Перед выполнением контейнера инициализации, LXC запрашивает переключение на профиль контейнера. По умолчанию это профиль lxc-контейнер по умолчанию политика, которая определена в /etc/apparmor.d/lxc/lxc-по умолчанию. Этот профиль предотвращает доступ контейнера ко многим опасным путям и от монтирования большинства файловых систем.
Программы в контейнере не могут быть дополнительно ограничены - например, MySQL работает под профилем контейнера (защищая хост), но не сможет войти в профиль MySQL (чтобы защитить контейнер).