欢迎进入Linux社区论坛,与200万技术人员互动交流 >>进入
1. lxcbr0
当/etc/default/lxc中的USE_LXC_BRIDGE=”true”的时候,桥lxcbr0会在lxc启动的时候自动创建,并且被赋予10.0.3.1的ip地址,使用这个桥的lxc实例可以从10.0.3.0/24中分配ip.一个dnsmasq实例在后台运行用来监听lxcbr0,用来实现dns和dhcp的功能。
2. 使用隔离的文件系统作为lxc实例的存储
lxc实例的配置信息以及根文件系统都存放在/var/lib/lxc目录下,另外,没创建一个实例也会将其cache到/var/lib/lxc目录下。如果你想使用除/var之外的其他文件系统的话,也可以通过以下两种方式来实现:
sudo mkdir /srv/lxclib /srv/lxccache
sudo rm -rf /var/lib/lxc /var/cache/lxc
sudo ln -s /srv/lxclib /var/lib/lxc
sudo ln -s /srv/lxccache /var/cache/lxc
或者:
sudo mkdir /srv/lxclib /srv/lxccache
sudo sed -i ‘$a \
/srv/lxclib /var/lib/lxc none defaults,bind 0 0 \
/srv/lxccache /var/cache/lxc none defaults,bind 0 0′ /etc/fstab
sudo mount -a
3. LXC的安全性 — apparmor(应用程序访问控制系统)
Apparmor 是一个类似于selinux 的东东,主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。
默认情况下AppArmor已安装并载入。它使用每个程序的profiles来确定这个程序需要什么文件和权限。有些包会安装它们自己的profiles,额外的profiles可以在apparmor-profiles包里找到。
下面简单介绍下Apparmor的使用:
(1)apparmor_status是用来查看Apparmor配置文件的当前状态的
sudo apparmor_status
(2)aa-complain将一个程序置入complain模式。
sudo aa-complain /path/to/bin //可执行程序的路径
(3)aa-enforce将一个程序置入enforce模式
sudo aa-enforce /path/to/bin //可执行程序的路径
/etc/apparmor.d目录是Apparmor配置文件的所在之处。可用来操作所有配置文件的模式mode.
(4)要将所有配置文件置入complain模式,输入:
sudo aa-complain /etc/apparmor.d/*
[1][2]
让情谊在笑声中升腾,当朋友遇到了难题的时候,