Странный курсор с последним ядром
Да :-). Здесь есть три отличительных момента.
Эксперимент 1 :Почему я получаю umount: /tmp/IMJUSTTMP: not mountedпри попытке umount /tmp/IMJUSTTMPвнутри пространства имен?
http://man7.org/linux/man-pages/man7/mount_namespaces.7.html
Restrictions on mount namespaces
Note the following points with respect to mount namespaces:
A mount namespace has an owner user namespace. A mount names‐ pace whose owner user namespace is different from the owner user namespace of its parent mount namespace is considered a less privileged mount namespace.
When creating a less privileged mount namespace, shared mounts are reduced to slave mounts. (Shared and slave mounts are discussed below.) This ensures that mappings performed in less privileged mount namespaces will not propagate to more privileged mount namespaces.
Mounts that come as a single unit from more privileged mount are locked together and may not be separated in a less privi‐ leged mount namespace. (The unshare(2) CLONE_NEWNS operation brings across all of the mounts from the original mount names‐ pace as a single unit, and recursive mounts that propagate between mount namespaces propagate as a single unit.)
The mount(2) flags MS_RDONLY, MS_NOSUID, MS_NOEXEC, and the "atime" flags (MS_NOATIME, MS_NODIRATIME, MS_RELATIME) set‐ tings become locked when propagated from a more privileged to a less privileged mount namespace, and may not be changed in the less privileged mount namespace.
Эксперимент 2 :Попытка создать оверлей также не удалась
Attempts to make the mount operation safe for ordinary users are nothing new; LWN covered one patch set back in 2008. That work was never merged, but the effort to allow unprivileged mounts picked up in 2015, when Eric Biederman (along with others, Seth Forshee in particular) got serious about allowing user namespaces to perform filesystem mounts. The initial work was merged in 2016 for the 4.8 kernel, but it was known to not be a complete solution to the problem, so most filesystems can still only be mounted by users who are privileged in the initial namespace.
В статье LWN 2008 года говорится, что файловые системы, которые были проверены как «безопасные для использования в пространствах имен пользователей», помечаются как FS_USERNS_MOUNT. Таким образом, мы можем легко найти, какие файловые системы разрешены .
Что такое «владелец суперблока», упомянутый в этом коммите ядра и вопросе «Почему я не могу связать -монтирование «/» внутри пользовательского пространства имен?» ?
В исходном коде коммита ядра, на который вы ссылаетесь, говорится, что каждый суперблок считается принадлежащим определенному пользовательскому пространству имен. Владелец — это пространство имен пользователя, которое изначально создало суперблок.
Проблема решена с последним ядром 5.11.9 -200.fc33.x86 _64.