Usando echo 1 > /proc/sys/kernel/dmesg_restrict , você pode restringir o acesso dmesg ao usuário root do host. Outros usuários, incluindo o usuário root no LXC, não têm acesso.
Eu estava lendo sobre o LXC vs OpenVZ e queria saber se esse problema já foi resolvido em atualizações mais recentes:
OpenVZ has done quite a good job at this, but LXC still has issues here. Even with AppArmor enabled, in Ubuntu you still have access to dmesg from the guests and /proc/kcore and /proc/sysrq-trigger are still accessible, so a root user in a guest VM could easily restart the host machine. Improvements are planned for Ubuntu version 13.04.
fonte: link
Usando echo 1 > /proc/sys/kernel/dmesg_restrict , você pode restringir o acesso dmesg ao usuário root do host. Outros usuários, incluindo o usuário root no LXC, não têm acesso.
Para desativar o acesso ao / proc / kcore:
lxc.cap.drop = sys_rawio
Para desabilitar o acesso ao dmesg, carregue o seguinte arquivo usando a opção lxc.seccomp :
2 blacklist [all] syslog errno 1
Funciona bem para mim no LXC-1.0.6, kernel 4.3.0.