Как определить, какие возможности требуются для команды?
systemctl --обратный список-dependencies nameofunit.type показывает, что хочет или нуждается в этой единице.
Добавьте параметр --рекурсивный, чтобы увидеть цепочку зависимостей единиц измерения, которая ведет к указанному блоку.
Вам могут понадобиться привилегии root, чтобы увидеть всю цепочку.
(Источник: man systemctl)
Согласно setns (2 )справочной странице вам потребуется CAP _ADMIN, чтобы присоединиться к целевому сетевому пространству имен. Но вам, возможно, потребуются дополнительные возможности, потому что setns()используется с файловым дескриптором для /run/netns/.... Вы не говорите, как вы создали это сетевое пространство имен, поэтому я предполагаю, что оно было создано через ip netns add..., так что в любом случае это смонтированное сетевое пространство имен -, указывающее на nsfs. Поскольку /run/netns/...обычно является корневой -территорией, вам, вероятно, также потребуется CAP_DAC_OVERRIDEили CAP_DAC_READ_SEARCH, см. также возможности (7 )справочная страница .