Probablemente mi pregunta sea más sobre el LXC que sobre Docker, pero me pregunto cuáles son los mecanismos de seguridad para evitar que un usuario root dentro de una imagen de Docker acceda a todo el host.
Más precisamente, me pregunto cuáles son los límites de las capacidades de dicho usuario root antes de llegar a un punto en el que pueda hacer cosas peligrosas.
Por lo general, con fines educativos, necesito que los estudiantes carguen un módulo del núcleo desde una imagen de Docker. ¿Se podría acceder a este módulo del kernel desde todo el sistema? Y, de no ser así, ¿cuáles son los límites y cómo los LXC se ocupan de la separación de memoria dentro del espacio del kernel?
Para abreviar, me gustaría saber hasta dónde podemos llegar con LXC sin que sea perjudicial para el sistema.