私はLXCとOpenVZに関する記事を読んでいましたが、最近のアップデートでこの問題が解決したのかと思います。
OpenVZはここで素晴らしい仕事をしていますが、LXCにはまだ問題があります。 AppArmorが有効になっていても、Ubuntuはゲストからdmesgに引き続きアクセスでき、/proc/kcoreおよび/proc/sysrq-triggerに引き続きアクセスできるため、ゲストVMのrootユーザーはホストを簡単に再起動できます。 Ubuntuバージョン13.04の改善が計画されています。
答え1
を使用すると、ホストrootユーザーへのアクセスをecho 1 > /proc/sys/kernel/dmesg_restrict
制限できます。dmesg
他のユーザー(LXCのrootユーザーを含む)はアクセスできません。
答え2
/proc/kcore へのアクセスを無効にするには:
lxc.cap.drop = sys_rawio
dmesgへのアクセスを無効にするには、次のlxc.seccomp
オプションを使用して次のファイルをロードします。
2 ブラックリスト [すべて] システムログエラー番号1
LXC-1.0.6、カーネル4.3.0でうまく動作します。