Еще нет никакого руководства использования этим тегом …!
Руководство использования, также известное как тег выборка Wiki, является короткой аннотацией, которая описывает, когда и почему тег должен использоваться на этом сайте конкретно.
Пользовательские пространства имен или короткий 'userns' являются средством, которое позволяет подпространству имен иметь свой собственный набор UIDs и ЦЕНУРОЗОВ. Это позволяет использовать наименьшее количество принципа полномочия для контейнеров LXC, но он не ограничен тем вариантом использования.
Ядро Linux позволяет определенным ресурсам быть ограниченными пространством имен. Практическое применение для этого является главным образом контейнерами в смысле LXC (см. lxc). Однако также возможно запустить единственную программу и ограничить ее представление о системе (проверьте man
страница для unshare
).
Пользовательские пространства имен (userns
) была одна из долгожданных функций LXC, так как они позволяют отображать непривилегированного пользователя на хосте диапазона UIDs в контейнере и соответствующем GID соответственно к диапазону ЦЕНУРОЗОВ. Начиная с процессов контейнера, сети, имя хоста и так далее также ограничено их дочерним пространством имен, это эффективно означает, что можно выполнить законченный контейнер LXC из непривилегированной учетной записи хост-системы, таким образом ограничив объем потенциальных нарушений защиты.
Главная цель userns
должен позволить отображение UID (и GID) от родительского пространства имен в диапазон UIDs (и ЦЕНУРОЗЫ) в дочернем пространстве имен. Таким образом, если у Вас есть учетная запись пользователя joe
который является обычным непривилегированным пользователем в Вашей системе, этот пользователь мог - если контейнер LXC подготовлен соответственно - выполняет контейнер, и в контейнере мог действовать как root
в границах пространства имен, не плохо влияя на хост. Ядро все еще гарантировало бы, что все те процессы, которые на хосте, кажется, работают как joe
не смог бы сделать что-либо воображение с блочными устройствами и так далее - на основе доступа предоставят просто joe
полномочия на хосте, в то время как в контейнерных файлах все еще принадлежал бы root
(и независимо от того, что пользователи создаются там), и разрешение было бы дано или отклонено на основе joe
полномочия в родительском пространстве имен и затем в контейнере на основе соответствующего UIDs/GIDs, поскольку они появляются из контейнера.
Так в некотором смысле пространства имен (не просто userns
) обеспечьте ограниченное представление системных ресурсов, позволив мелкомодульное и безопасное заключение в тюрьму.