Ваш файл exports
выглядит ненормально для NFS 4:
/ *(rw,subtree_check,no_root_squash,nohide,crossmnt,fsid=0,sync)
Вместо этого, я думаю, вам нужно следовать инструкции Arch Linux для этой строки fsid=0
. Он объявляет специальный экспорт, «так называемый -корень NFS».
Затем объявите свой собственный экспорт в последующих строках, как показано в инструкциях. Вы можете экспортировать корневую файловую систему сервера — не путать с корневой файловой системой NFS — как показано в этом старом посте Gentoo .
Я не знаком с podman
, но если кому-то нужно войти в другое пространство имен, используя /proc/31882/ns/uts
, он должен использовать системный вызов setns
.
In order to reassociate itself with a new network, IPC, time, or UTS namespace, the caller must have the CAP_SYS_ADMIN capability both in its own user namespace and in the user namespace that owns the target namespace. refer: https://man7.org/linux/man-pages/man2/setns.2.html
Таким образом, без возможностейCAP_SYS_ADMIN
(sudo )вызывающий объект не может войти в другое пространство имен. Если это возможно, то это проблема безопасности.
Дополнительное -примечание :установка бита suid в двоичный файл podman
позволит запускать podman
с возможностями CAP_SYS_ADMIN
без упоминания sudo
, но я надеюсь, что вы не ожидаете этого ответа.