[lxc-devel] [PATCH] doc: Add lxc.aa_allow_incomplete flag to Japanese man

Stéphane Graber stgraber at ubuntu.com
Wed Sep 24 14:23:35 UTC 2014


On Wed, Sep 24, 2014 at 07:20:58PM +0900, KATOH Yasufumi wrote:
> Update Japanese lxc.container.conf(5) for commit 93c709b
> 
> Signed-off-by: KATOH Yasufumi <karma at jazz.email.ne.jp>

Acked-by: Stéphane Graber <stgraber at ubuntu.com>

> ---
>  doc/ja/lxc.container.conf.sgml.in | 29 +++++++++++++++++++++++++++++
>  1 file changed, 29 insertions(+)
> 
> diff --git a/doc/ja/lxc.container.conf.sgml.in b/doc/ja/lxc.container.conf.sgml.in
> index fbad025..bae974f 100644
> --- a/doc/ja/lxc.container.conf.sgml.in
> +++ b/doc/ja/lxc.container.conf.sgml.in
> @@ -1492,6 +1492,35 @@ proc proc proc nodev,noexec,nosuid 0 0
>  	      <programlisting>lxc.aa_profile = unconfined</programlisting>
>  	  </listitem>
>  	</varlistentry>
> +	<varlistentry>
> +	  <term>
> +	    <option>lxc.aa_allow_incomplete</option>
> +	  </term>
> +	  <listitem>
> +	    <para>
> +              <!--
> +	      Apparmor profiles are pathname based.  Therefore many file
> +	      restrictions require mount restrictions to be effective against
> +	      a determined attacker.  However, these mount restrictions are not
> +	      yet implemented in the upstream kernel.  Without the mount
> +	      restrictions, the apparmor profiles still protect against accidental
> +	      damager.
> +              -->
> +              apparmor プロファイルはパス名ベースですので、多数のファイルの制限を行う際、執念深い攻撃者に対して効果的であるためにはマウントの制限が必要です。
> +              しかし、これらのマウントの制限は upstream のカーネルではまだ実装されていません。マウントの制限なしでも、apparmor プロファイルによって予想外のダメージに対する保護が可能です。
> +	    </para>
> +	    <para>
> +              <!--
> +	      If this flag is 0 (default), then the container will not be
> +	      started if the kernel lacks the apparmor mount features, so that a
> +	      regression after a kernel upgrade will be detected.  To start the
> +	      container under partial apparmor protection, set this flag to 1.
> +              -->
> +              このフラグが 0 の場合 (デフォルト)、カーネルが apparmor のマウント機能をサポートしていない場合にコンテナが起動しません。これはカーネルを更新した後に機能が退行したことが検出できるようにするためです。
> +              不完全な apparmor の保護の下でコンテナを起動するためには、このフラグを 1 に設定してください。
> +	    </para>
> +	  </listitem>
> +	</varlistentry>
>        </variablelist>
>      </refsect2>
>  
> -- 
> 2.0.4
> 
> _______________________________________________
> lxc-devel mailing list
> lxc-devel at lists.linuxcontainers.org
> http://lists.linuxcontainers.org/listinfo/lxc-devel

-- 
Stéphane Graber
Ubuntu developer
http://www.ubuntu.com
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: Digital signature
URL: <http://lists.linuxcontainers.org/pipermail/lxc-devel/attachments/20140924/7a9db04d/attachment.sig>


More information about the lxc-devel mailing list