Вопросы Теги
Все вопросы "userns"

Еще нет никакого руководства использования этим тегом …!

Руководство использования, также известное как тег выборка Wiki, является короткой аннотацией, которая описывает, когда и почему тег должен использоваться на этом сайте конкретно.

Еще нет никакого тега Wiki для этого тега …!

Справка wikis тега представляет вновь прибывших тегу. Они содержат обзор темы, определенной тегом, наряду с инструкциями по его использованию.

Все зарегистрированные пользователи могут предложить новый тег wikis.

(Обратите внимание, что, если у Вас есть меньше чем 20 000 репутаций, Ваш тег, Wiki будет одноранговым узлом, рассмотренным, прежде чем это будет опубликовано.)

---------121 Пользовательское пространство имен--------2531----или короткий 'userns' являются средством, которое позволяет подпространству имен иметь свой собственный набор UIDs и ЦЕНУРОЗОВ. Это позволяет использовать наименьшее количество принципа полномочия для контейнеров LXC, но он не ограничен тем вариантом использования.

Пользовательские пространства имен или короткий 'userns' являются средством, которое позволяет подпространству имен иметь свой собственный набор UIDs и ЦЕНУРОЗОВ. Это позволяет использовать наименьшее количество принципа полномочия для контейнеров LXC, но он не ограничен тем вариантом использования.

Сводка

Ядро Linux позволяет определенным ресурсам быть ограниченными пространством имен. Практическое применение для этого является главным образом контейнерами в смысле LXC (см. ). Однако также возможно запустить единственную программу и ограничить ее представление о системе (проверьте man страница для unshare).

Пользовательские пространства имен (userns) была одна из долгожданных функций LXC, так как они позволяют отображать непривилегированного пользователя на хосте диапазона UIDs в контейнере и соответствующем GID соответственно к диапазону ЦЕНУРОЗОВ. Начиная с процессов контейнера, сети, имя хоста и так далее также ограничено их дочерним пространством имен, это эффективно означает, что можно выполнить законченный контейнер LXC из непривилегированной учетной записи хост-системы, таким образом ограничив объем потенциальных нарушений защиты.

Главная цель userns должен позволить отображение UID (и GID) от родительского пространства имен в диапазон UIDs (и ЦЕНУРОЗЫ) в дочернем пространстве имен. Таким образом, если у Вас есть учетная запись пользователя joe который является обычным непривилегированным пользователем в Вашей системе, этот пользователь мог - если контейнер LXC подготовлен соответственно - выполняет контейнер, и в контейнере мог действовать как root в границах пространства имен, не плохо влияя на хост. Ядро все еще гарантировало бы, что все те процессы, которые на хосте, кажется, работают как joe не смог бы сделать что-либо воображение с блочными устройствами и так далее - на основе доступа предоставят просто joeполномочия на хосте, в то время как в контейнерных файлах все еще принадлежал бы root (и независимо от того, что пользователи создаются там), и разрешение было бы дано или отклонено на основе joeполномочия в родительском пространстве имен и затем в контейнере на основе соответствующего UIDs/GIDs, поскольку они появляются из контейнера.

Так в некотором смысле пространства имен (не просто userns) обеспечьте ограниченное представление системных ресурсов, позволив мелкомодульное и безопасное заключение в тюрьму.

Ссылки

4
ответа

Как я могу вывести список всех подключений к моему хосту, включая подключения к гостевым LXC?

Я попробовал и netstat, и lsof, но оказалось, что невозможно увидеть соединения с моими гостевыми LXC. Есть ли способ добиться этого ... для всех гостей сразу? По сути, то, что меня сбивает ...
16.05.2015
2
ответа

Что такое непривилегированный контейнер LXC?

Что означает то, если контейнер Linux (контейнер LXC) называют "непривилегированным"?
02.01.2015
1
ответ

Ping не работает в новом контейнере C

Я работал над написанием собственного контейнера Linux из нуля в C. Я позаимствовал код из нескольких мест и создал базовую версию с пространствами имен и контрольными группами. По сути, я клонирую новый ...
21.01.2019
1
ответ

Как я сохраняю userns отображения UID/GID при архивации гостя LXC?

Я хотел бы заархивировать существующий контейнер LXC, который был настроен для выполнения как непривилегированный контейнер LXC (см. этот вопрос). Как я могу сохранить все метаданные файловой системы, которые используются для хранения...
13.04.2017
1
ответ

Что заставляет firefox внутри контейнера запускать новое окно firefox снаружи на хосте с UID пользователя хоста? Разве это не странно для LXC?

Кто-нибудь может объяснить мне это странное поведение: У меня есть непривилегированный LXC-контейнер с firefox внутри. Если firefox запущен на хосте вне контейнера, то /usr/bin/firefox внутри ...
16.08.2016
1
ответ

Подчинить GIDs/UIDs с LXC и userns для непривилегированного пользователя?

При использовании userns (через LXC в моем случае), Вы присваиваете диапазон зависимых ЦЕНУРОЗОВ и UIDs непривилегированному пользователю. См. ресурсы: subuid (5), подценуроз (5), newuidmap (1), newgidmap (1), user_namespaces (7)....
22.12.2014
0
ответов

Почему UID 0 не может выполнить жесткую ссылку на файлы SUID в пространстве имен пользователя ?

Рассмотрим следующую расшифровку оболочки с пространством имен пользователя, работающей с привилегиями root (UID 0 в пространстве имен, непривилегированный снаружи): # cat / proc / $$ / status | grep CapEff CapEff: ...
16.09.2015