Онлайн-рабочие станции OnWorks Linux и Windows

Логотип

Бесплатный хостинг в Интернете для рабочих станций

<Предыдущая | Содержание: | Следующая>

6.9. Апброн‌


LXC поставляется с профилем Apparmor по умолчанию, предназначенным для защиты хоста от случайного злоупотребления привилегиями внутри контейнера. Например, контейнер не сможет писать в / proc / sysrq-триггер или большинству /систем файлы.


В usr.bin.lxc-старт профиль вводится путем запуска lxc-старт. Этот профиль в основном предотвращает lxc-старт от монтирования новых файловых систем вне корневой файловой системы контейнера. Перед выполнением контейнера инициализации, LXC запрашивает переключение на профиль контейнера. По умолчанию это профиль lxc-контейнер по умолчанию политика, которая определена в /etc/apparmor.d/lxc/lxc-по умолчанию. Этот профиль предотвращает доступ контейнера ко многим опасным путям и от монтирования большинства файловых систем.


Программы в контейнере не могут быть дополнительно ограничены - например, MySQL работает под профилем контейнера (защищая хост), но не сможет войти в профиль MySQL (чтобы защитить контейнер).


 

Лучшие облачные вычисления для ОС в OnWorks: