1. lxcbr0
当/etc/default/lxc中的USE_LXC_BRIDGE="true"的时候,桥lxcbr0会在lxc启动的时候自动创建,并 且被赋予10.0.3.1的ip地址,使用这个桥的lxc实例可以从10.0.3.0/24中分配ip.一个dnsmasq实例在后台运行用来监听 lxcbr0,用来实现dns和dhcp的功能。
2. 使用隔离的文件系统作为lxc实例的存储
lxc实例的配置信息以及根文件系统都存放在/var/lib/lxc目录下,另外,没创建一个实例也会将其cache到/var/lib/lxc目录下。如果你想使用除/var之外的其他文件系统的话,也可以通过以下两种方式来实现:
sudo mkdir /srv/lxclib /srv/lxccache
sudo rm -rf /var/lib/lxc /var/cache/lxc
sudo ln -s /srv/lxclib /var/lib/lxc
sudo ln -s /srv/lxccache /var/cache/lxc
或者:
sudo mkdir /srv/lxclib /srv/lxccache
sudo sed -i '$a /
/srv/lxclib /var/lib/lxc none defaults,bind 0 0 /
/srv/lxccache /var/cache/lxc none defaults,bind 0 0' /etc/fstab
sudo mount -a
3. LXC的安全性 -- apparmor(应用程序访问控制系统)
Apparmor 是一个类似于selinux 的东东,主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。
默认情况下AppArmor已安装并载入。它使用每个程序的profiles来确定这个程序需要什么文件和权限。有些包会安装它们自己的profiles,额外的profiles可以在apparmor-profiles包里找到。
下面简单介绍下Apparmor的使用:
(1)apparmor_status是用来查看Apparmor配置文件的当前状态的
sudo apparmor_status
(2)aa-complain将一个程序置入complain模式。
sudo aa-complain /path/to/bin //可执行程序的路径
(3)aa-enforce将一个程序置入enforce模式
sudo aa-enforce /path/to/bin //可执行程序的路径
/etc/apparmor.d目录是Apparmor配置文件的所在之处。可用来操作所有配置文件的模式mode.
(4)要将所有配置文件置入complain模式,输入:
sudo aa-complain /etc/apparmor.d/*
(5)要将所有配置文件置入enforce模式:
sudo aa-enforce /etc/apparmor.d/*
(6)apparmor_parser用来将一个配置文件载入内核。它也可以通过使用-r选项来重新载入当前已载入的配置文件。要载入一个配置文件:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a
(7)要重新载入一个配置文件:
cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r
(8)/etc/init.d/apparmor可用来重新载入所有配置文件:
(责任编辑:VEVB)
新闻热点
疑难解答
