Я искал в вики вики AppArmor, а также пробовал искать в Интернете пространство имен монтирования apparmor (или подобное). Тем не менее, я всегда не понимаю, как с ними справляется AppArmor, что особенно странно, учитывая, что контейнеры OCI не могут существовать без пространств имен монтирования. Принимает ли AppArmor пространства имен монтирования в какую-либо учетную запись или просто проверяет имя файла, переданное какому-то системному вызову?
Если процесс внутри контейнера переключает монтирование пространств имен, AppArmor вообще обращает на это внимание, или он просто монтирует независимо от пространства имен в том смысле, что ему все равно? Например, если процесс-контейнер переключается в исходное пространство имен монтирования, могу ли я написать правила MAC для AppArmor, чтобы предотвратить доступ такого процесса к файлам чувствительного хоста, в то время как те же файлы внутри его собственного контейнера разрешены для доступа?