LINUX.ORG.RU

Не первый раз замечаю, что тебе постоянно «нужно». В такой формулировке - в job.

anonymous
()
Ответ на: комментарий от anonymous

Я просто хотел сообщить о том, что lxc не защищает /proc /sys (кроме /proc/sys/net) от несанкционированного изменения внутри контейнера. Соответственно, возможно мелкое хулиганство, типа перезагрузок или kernel panic'ов. Соответственно, это хулиганство может закончится поломкой файловой системы. Я тут спрашивол о том, как можно защититься от этой проблемы.

ne-vlezay ★★★★★
() автор топика
Ответ на: комментарий от ne-vlezay

Даже в непривелигерованных контейнерах?

Yustas ★★★★
()

У меня даже читать с /proc/sysrq-trigger нельзя с контейнера.
lxd, Ubuntu Xenial, профили стандартные. В aa-status, отображаются как

lxd-containername_</var/lib/lxd>
Названия:
 
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   lxd-containername_</var/lib/lxd>
   lxd-containername_</var/lib/lxd>
  ...
Файлы в /etc/apparmor.d/lxc/* соответственно

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от ne-vlezay

У тебя есть как минимум три решения.
Поставить lxd с профилями в Debian, просмотреть пакеты с Ubuntu и раскидать профили вручную, или сравнить их твоими и дополнить те профиль, которые ты используешь. Или raw решение с добавлением

deny  /proc/sysrq-trigger rw,
в твой уже существующий профиль. (если он есть). Впрочем я не думаю, что пакеты будет отличаться, кромет ого, что у тебя наверняка версия старей. А еще lxd желательно ядро 4.4.x+.

anonymous_sama ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.