namespace
虚拟接口对相互转发数据包
目标非常简单:发送到pair1 的任何内容(作为传出数据包)都应该作为传入数据包出现在pair0 上,反之亦然。我现在正在考虑仅第三层的虚拟接口。 tun可以做到这一点,但它需要一个用户空间程序来转发数据包。我不想要这个。 它存在吗? ...
namespace
namespace
如何通过netns exec命名空间转发数据
我正在使用 zmq 从另一台电脑接收数据。我想通过命名空间将收到的数据格式化到互联网上。我创建了这个 python 脚本: import subprocess import zmq context = zmq.Context() socket = context.socket(zmq.SUB) socket.connect("tcp://10.1.24.50:4000") socket.subscribe("") while True: print("message rcv") data = socket.recv_string() ...
namespace
如何通过 struct fc_context 获取完整的挂载点路径名
在我的内核模块中,我实现了一个名为 的系统调用挂钩,fsconfig用于管理与重新挂载只读挂载点相关的操作。例如,如果用户执行,我需要提取钩子内的mount /dev/sda /tmp/mytest -o remount,ro字符串。/tmp/mytestfsconfig 为了实现这一目标,我探索了内核fs_context通过文件描述符访问结构的方法。我的目标是在 fsconfig 系统调用期间通过此结构检索挂载点路径。 最初,我尝试使用dentry_path_raw从 开始之类的函数fc_context->dentry,但生成的字符串很简单"/",这...
namespace
无法在非共享命名空间中使用用户/组 ID
当在与我的“常规”系统分离的安装和用户命名空间中安装 tmpfs 时,我的期望是可以使用任何用户/组 ID。 不需要映射 ID,因为 tmpfs 仅存在于该挂载命名空间中(不过,我设置了 /etc/sub{g,u}id)。 但发生的事情是这样的: me $ mkdir tmp me $ unshare -Urm root $ mount -t tmpfs none tmp root $ cd tmp root $ touch asdf root $ chown 3:3 asdf chown: changing ownership of 'asdf':...
namespace
问题
问题 我不能cryptsetup close当任何 flatpak 应用程序在后台运行时,任何 LUKS 音量。是的,Flatpak 应用程序只需要在后台运行,我不想在沙箱或类似的东西中使用 cryptsetup。对,这就是其中一个问题。 重现步骤 mkdir ~/mnt dd if=/dev/zero of=file.img bs=1MiB count=100 sudo losetup /dev/loop4 file.img sudo cryptsetup luksFormat /dev/loop4 sudo cryptsetup open /dev/lo...
namespace
隔离远程桌面程序中的子进程
我正在为 Linux 开发一个远程桌面/流媒体程序。当用户登录时,他们指定要启动的程序,远程服务器会将该程序作为新进程启动。服务器进程充当 Wayland 合成器,因此子进程在屏幕外运行(从服务器上任何其他用户的角度来看),并从合成器获取输入。 这对于简单的应用程序来说效果很好,但是许多桌面应用程序,如 Steam(对于这个用例来说是一个重要的应用程序)使用(我认为)dbus 来检查是否有现有的 steam 实例正在运行,如果有,它们就会切换到它。因此,如果已经打开了一个窗口,那么简单地分叉/执行该进程是行不通的。 我尝试unshare(2)为每个孩子创建一...
namespace
Kubernetes 命名空间陷入“终止”状态
我遇到了 Kubernetes 命名空间陷入“终止”状态的问题。运行kubectl get ns cattle-monitoring-system -o json|jq会产生与命名空间状态相关的错误消息custom.metrics.k8s.io/v1beta1,并显示DiscoveryFailed命名空间状态中的条件: E1213 08:02:39.979034 953148 memcache.go:287] couldn't get resource list for custom.metrics.k8s.io/v1beta1: the server i...
namespace
是什么原因导致 proot 下的权限被拒绝?
在工作中,我对 PC 的访问权限有限,因此我在安装 /nix 的情况下运行 proot,以便可以访问 nix 包管理器。但是,在 root 下执行某些 setuid 命令会失败。 $ proot /usr/bin/crontab -e /var/spool/cron/<name>: Permission denied $ proot sh -c '/usr/bin/sudo --help' sh: /usr/bin/sudo: Permission denied $ stat /usr/bin/sudo File: /usr/bin/su...
namespace
如何从非特权用户命名空间挂载 9p 文件系统?
我正在尝试从用户命名空间内部挂载 9p 文件系统。 首先,我运行 9p 服务器: p9ufs -v --unix '/run/9p/srved' 然后我使用 setuid 二进制 9mount (https://sqweek.net/code/9mount/) 安装它: 9mount -u 'unix!/run/9p/srved' /tmp/ed1 它有效。 我编辑了9mount的代码来显示它的uid和euid,它说:“getuid返回1000,geteuid返回0”。我还检查: grep Uid /proc/$(pgrep 9mount)/status并得...
namespace
是什么导致“newuidmap”在新用户命名空间中被禁止?
我期望 uid=0(root) gid=0(root) groups=0(root) 是两者的输出 $ rootlesskit id $ unshare -U bash -c 'newuidmap $$ 0 '"$(id -u)"' 1; id' 然而有点更详细的-x命令 $ unshare -U bash -xc 'newuidmap $$ 0 '"$(id -u)"' 1; id' 产量不变 + newuidmap 41372 0 1000 1 newuidmap: uid range [0-1) -> [1000-1001) not al...
namespace
systemd 使用 SIGTERM 杀死进程和子进程
当我的进程(及其子进程)收到 aSIGTERM并且发送者是systemd(PID == 1)时,您好,有一个非常奇怪的情况。我的设置如下: 两个“simmetric”分区安装在/opt/a和 上/mnt/a,分别为一个主分区和一个辅助分区; 一个正在运行的systemd服务单元(可在 中执行/opt/a/bin/my_exe),在特定条件下,它会下载一些.deb档案并启动 bash 脚本来安装它们; 由于包中的文件层次结构引用/opt/a,因此该脚本启动一个实例,执行onunshare的绑定安装并调用以安装包:/mnt/a/opt/adpkg #!/bi...
namespace
如何使 Systemd 专用网络命名空间可访问
因此,我有一个仅绑定0.0.0.0并侦听端口 (TCP) 的应用程序。通信未加密且未经授权,因此我想解决这个问题,但又不想太过深入。 我希望将其绑定,127.0.0.1以便我可以执行以下操作SSH 转发获取身份验证和加密的技巧。 但问题仍然是,该过程必须与外部绑定0.0.0.0并可从外部访问。 我的一个想法是使用 SystemdPrivateNetwork隔离网络(我也想以其他方式对应用程序进行沙箱处理),但我不知道如何让 SSH 继续工作。也许运行一个sshdand加盟网络命名空间?但那么我如何才能sshd从“外部”访问连接呢? 有没有比获取更简单的方法L...
namespace
centos/linux:在非默认网络命名空间中运行 tftpd
tftpd我想知道是否有人成功地在网络命名空间中启动了(我正在使用tftp-server-5.2-22.el7.x86_64.rpm)? 即,tftpd从默认 NS 开始很简单: bash# systemctl start tftp bash# systemctl status tftp * tftp.service - Tftp Server Loaded: loaded (/usr/lib/systemd/system/tftp.service; indirect; vendor preset: disabled) Active: activ...
namespace
如何控制 pid 命名空间内的 HOST systemd 服务
注意:这并不是要在命名空间/容器内运行 systemd 我需要从命名空间/容器内部控制某些服务,但systemctl返回“无法连接到总线:没有可用数据”。 这个怎么做?也许我必须将一些东西安装到容器中? 命名空间/容器可以是一个简单的unshare --pid或完整的 docker 容器。 ...