私はLinuxネームスペース用のユーザースペースツールを知っており、unshareそれを使用しています。nsenter可能な限り、root権限が有効な状態で作業するのを避けるため、これらのツールに問題が発生し、unshareいくつかの「権限の拒否」が発生します。
私はできます。最初root以外のユーザーがこれらのツールを使用できるようにする方法はありますか?
第二に、root以外のユーザーがネームスペースを使用できるように段階的に進行する可能性があるリスクや問題(セキュリティの観点から)についての情報も入手できますか?
この質問に関する私の現在の知識のいくつかは次のとおりです。ユーザーネームスペースカーネル機能を使用すると、非rootユーザーが最初にそのユーザーがrootになる新しいユーザー名前空間を作成できるため、そのユーザー名前空間内にユーザーの名前空間をネストして作成できます。
この質問に対する答えを聞いて議論することができれば役に立ちます。他の方法root以外のユーザーに対して名前空間(たとえば、network、ipc、mount、pidなど)を有効にします。つまり、ユーザーの名前空間(現在のすべてのLinuxディストリビューションでアクティブではない可能性があります)を使用しないでください。プロキシsetuidプログラムが権限を簡単に漏洩することなく、ルートではなく名前空間の使用を許可できると思いましたか?たぶんこれはsudo編集を通して有名なツールでも達成できますか/etc/sudoers?
追加の背景setgpid()ルート以外のユーザーにネームスペースを使用できるようにしたい1つの理由は、プロセスツリーを無秩序にしたり、デュアルフォークしたり、他の方法で終了したりする競合状態なしで子プロセスと子プロセスを追跡できるからです。つまり、私はroot以外のユーザーとしてsavely linuxネームスペースを使用する方法について一般的なケースに興味がありますが、pidネームスペースだけが有効になっていてもヒントを得たいと思います。