1. lxcbr0
當(dāng)/etc/default/lxc中的USE_LXC_BRIDGE="true"的時候,橋lxcbr0會在lxc啟動的時候自動創(chuàng)建,并 且被賦予10.0.3.1的ip地址,使用這個橋的lxc實例可以從10.0.3.0/24中分配ip.一個dnsmasq實例在后臺運行用來監(jiān)聽 lxcbr0,用來實現(xiàn)dns和dhcp的功能。
2. 使用隔離的文件系統(tǒng)作為lxc實例的存儲
lxc實例的配置信息以及根文件系統(tǒng)都存放在/var/lib/lxc目錄下,另外,沒創(chuàng)建一個實例也會將其cache到/var/lib/lxc目錄下。如果你想使用除/var之外的其他文件系統(tǒng)的話,也可以通過以下兩種方式來實現(xiàn):
sudo mkdir /srv/lxclib /srv/lxccache
sudo rm -rf /var/lib/lxc /var/cache/lxc
sudo ln -s /srv/lxclib /var/lib/lxc
sudo ln -s /srv/lxccache /var/cache/lxc
或者:
sudo mkdir /srv/lxclib /srv/lxccache
sudo sed -i '$a /
/srv/lxclib /var/lib/lxc none defaults,bind 0 0 /
/srv/lxccache /var/cache/lxc none defaults,bind 0 0' /etc/fstab
sudo mount -a
3. LXC的安全性 -- apparmor(應(yīng)用程序訪問控制系統(tǒng))
Apparmor 是一個類似于selinux 的東東,主要的作用是設(shè)置某個可執(zhí)行程序的訪問控制權(quán)限,可以限制程序 讀/寫某個目錄/文件,打開/讀/寫網(wǎng)絡(luò)端口等等。
默認情況下AppArmor已安裝并載入。它使用每個程序的profiles來確定這個程序需要什么文件和權(quán)限。有些包會安裝它們自己的profiles,額外的profiles可以在apparmor-profiles包里找到。
下面簡單介紹下Apparmor的使用:
?。?)apparmor_status是用來查看Apparmor配置文件的當(dāng)前狀態(tài)的
sudo apparmor_status
?。?)aa-complain將一個程序置入complain模式。
sudo aa-complain /path/to/bin //可執(zhí)行程序的路徑
?。?)aa-enforce將一個程序置入enforce模式
sudo aa-enforce /path/to/bin //可執(zhí)行程序的路徑
/etc/apparmor.d目錄是Apparmor配置文件的所在之處。可用來操作所有配置文件的模式mode.
?。?)要將所有配置文件置入complain模式,輸入:
sudo aa-complain /etc/apparmor.d/*
(5)要將所有配置文件置入enforce模式:
sudo aa-enforce /etc/apparmor.d/*
?。?)apparmor_parser用來將一個配置文件載入內(nèi)核。它也可以通過使用-r選項來重新載入當(dāng)前已載入的配置文件。要載入一個配置文件:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
(7)要重新載入一個配置文件:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
?。?)/etc/init.d/apparmor可用來重新載入所有配置文件:
(責(zé)任編輯:VEVB)
新聞熱點
疑難解答
圖片精選