[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Файлы

В Mon, 27 Aug 2018 23:00:58 +0300
artiom <artiom14@yandex.ru> пишет:

> ЫЫЫ: "Subordinate user/group ids appear in Linux kernel 3.12 in 2013."
> 
> Что это я понял. Но для чего это не вполне понятно не только после
> прочтения man, но и после прочтения док, даже то, что "для LXC" не
> сильно прояснило ситуацию.
> Русским языком можете объяснить, зачем эта штука появилась?

Чтобы позапутаннее было. Система namespace в ядре это "лошадь,
изобретенная комитетом". Помнится, в свое время там была такая борьба
самолюбий между Parallels, RedHat и еще несколькими компаниями на тему
того, как правильно делать контейнеры. В результате получилось
несколько эклектично.

В принципе понятная мысль - ограничить набор uid-ов, которыми может
пользоваться непривилегированный юзер, запуская контейнер. Тогда если у
нас есть несколько юзеров, запускающих контейнеры, можно сделать так,
чтобы их процессы по uid-ам вообще не пересекались.

Только вот ни разу не попадались описания того, что кто-то это
используют. 

Обычно все запускают какой-то демон от рута - docker там или libvirtd,
и он уже рулит контейнерами. А наличие в разных контейнерах процессов с
одинаковыми uid никого не волнует.

-- 
                                   Victor Wagner <vitus@wagner.pp.ru>
Reply to: