问题描述
给定是一个具有pid=host的容器(因此它位于初始PID名称空间中,并且对所有进程均具有完整视图)。此容器(而是其过程)还具有CAP_SYS_ADMIN和CAP_SYS_CHROOT功能,因此它可以使用setns(2)更改装载名称空间。
- 是否可以使用AppArmor阻止此容器访问主机中的任意文件(初始安装名称空间),除了某些文件(例如
/var/run/foo之外)? - AppArmor如何评估有关装载名称空间的文件系统路径名?它会“忽略”安装名称空间并仅采用指定的路径,还是会转换路径,例如在处理绑定安装的子树等时?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)