[lxc-devel] [PATCH] doc: Add lxc.aa_allow_incomplete flag to Japanese man
KATOH Yasufumi
karma at jazz.email.ne.jp
Wed Sep 24 10:20:58 UTC 2014
Update Japanese lxc.container.conf(5) for commit 93c709b
Signed-off-by: KATOH Yasufumi <karma at jazz.email.ne.jp>
---
doc/ja/lxc.container.conf.sgml.in | 29 +++++++++++++++++++++++++++++
1 file changed, 29 insertions(+)
diff --git a/doc/ja/lxc.container.conf.sgml.in b/doc/ja/lxc.container.conf.sgml.in
index fbad025..bae974f 100644
--- a/doc/ja/lxc.container.conf.sgml.in
+++ b/doc/ja/lxc.container.conf.sgml.in
@@ -1492,6 +1492,35 @@ proc proc proc nodev,noexec,nosuid 0 0
<programlisting>lxc.aa_profile = unconfined</programlisting>
</listitem>
</varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.aa_allow_incomplete</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Apparmor profiles are pathname based. Therefore many file
+ restrictions require mount restrictions to be effective against
+ a determined attacker. However, these mount restrictions are not
+ yet implemented in the upstream kernel. Without the mount
+ restrictions, the apparmor profiles still protect against accidental
+ damager.
+ -->
+ apparmor プロファイルはパス名ベースですので、多数のファイルの制限を行う際、執念深い攻撃者に対して効果的であるためにはマウントの制限が必要です。
+ しかし、これらのマウントの制限は upstream のカーネルではまだ実装されていません。マウントの制限なしでも、apparmor プロファイルによって予想外のダメージに対する保護が可能です。
+ </para>
+ <para>
+ <!--
+ If this flag is 0 (default), then the container will not be
+ started if the kernel lacks the apparmor mount features, so that a
+ regression after a kernel upgrade will be detected. To start the
+ container under partial apparmor protection, set this flag to 1.
+ -->
+ このフラグが 0 の場合 (デフォルト)、カーネルが apparmor のマウント機能をサポートしていない場合にコンテナが起動しません。これはカーネルを更新した後に機能が退行したことが検出できるようにするためです。
+ 不完全な apparmor の保護の下でコンテナを起動するためには、このフラグを 1 に設定してください。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
--
2.0.4
More information about the lxc-devel
mailing list