Контейнерная блокировка
Ответ Random832 является корректным, но я дам Вам более легкий ответ.
Единственная часть ОС с прямым доступом к аппаратным средствам является ядром. В традиционных системах Unix X-серверу (XFree86/Xorg) нужен прямой доступ к аппаратному обеспечению машинной графики, т.е. процесс пространства пользователя должен обойти ядро. Это - большая проблема безопасности, таким образом, OpenBSD просят у Вас подтверждение.
Если Вы отвечаете на "да", изменение установщика sysctl запись (параметр конфигурации ядра, который может быть установлен во времени выполнения), machdep.allowaperture=0 кому: machdep.allowaperture=2.
Новая графическая стопка Xorg (KMS) решит эту проблему, но это необходимо для порта KMS к OpenBSD.
При помощи echo 1 > /proc/sys/kernel/dmesg_restrict можно ограничить dmesg доступ к пользователю root хоста. У других пользователей включая пользователя root в LXC нет затем доступа.
-
1Это, кажется, не работает с Linux 3.16.0 здесь. Установка там, она установлена на 1 впоследствии, но контейнеры LXC все еще показывают вывод dmesg. – allo 01.10.2015, 00:29
-
2@allo Это работает, вероятно, только на непривилегированный контейнер. – jofel 01.10.2015, 13:25
-
3, который имеет смысл. Все еще проблема, потому что другие контейнеры изолируют это лучше. – allo 02.10.2015, 22:51
Чтобы отключить доступ к / proc / kcore:
lxc.cap.drop = sys_rawio
Чтобы отключить доступ к dmesg, загрузите следующий файл с помощью параметра lxc.seccomp :
2 blacklist [all] syslog errno 1
У меня отлично работает на LXC-1.0.6, ядро 4.3.0.