LINUX.ORG.RU
ФорумAdmin

Непривилегированные контейнеры LXC в Centos7

 ,


0

1

Возможно ли? Вот, что у меня получается:

[popov@PopovServer ~]$ cat /etc/subuid
popov:100000:65536

[popov@PopovServer ~]$ cat /etc/subgid
popov:100000:65536

[popov@PopovServer ~]$ cat ~/.config/lxc/default.conf
lxc.network.type = veth
lxc.network.link = virbr0
lxc.network.flags = up
lxc.kmsg = 0
lxc.start.auto = 1
lxc.id_map = u 0 100000 65536
lxc.id_map = g 0 100000 65536

[popov@PopovServer ~]$ lxc-create -n test -t download -- -d centos -r 7 -a amd64
lxc: conf.c: lxc_map_ids: 3638 Missing newuidmap/newgidmap
error mapping child
setgid: Invalid argument
lxc_container: lxccontainer.c: do_create_container_dir: 767 Failed to chown container dir
lxc_container: lxc_create.c: main: 274 Error creating container test

[popov@PopovServer ~]$ cat /etc/sysctl.conf
net.ipv4.ip_forward = 1
kernel.unprivileged_userns_clone = 1

[popov@PopovServer ~]$ sudo sysctl -p /etc/sysctl.conf
[sudo] пароль для popov:
net.ipv4.ip_forward = 1
sysctl: cannot stat /proc/sys/kernel/unprivileged_userns_clone: Нет такого файла или каталога

[popov@PopovServer ~]$ uname -a
Linux PopovServer 4.18.5-1.el7.elrepo.x86_64 #1 SMP Fri Aug 24 11:35:05 EDT 2018 x86_64 x86_64 x86_64 GNU/Linux
В сети какая-то противоречивая информация. Якобы на стандартном (старом) ядре чего-то не хватает. Я обновил ядро из сторонних реп, но не помогло.

kernel.unprivileged_userns_clone — это патч от Каноникала (есть и в Арче, а вот насчёт el7 сильно сомневаюсь).

post-factum ★★★★★ ()
Ответ на: комментарий от popov-aa

Вроде были доступны. Помню, что когда-то шаманил с suid-битами для newuidmap, откатами и апгрейдами shadow...

anonymous ()
Ответ на: комментарий от popov-aa

For compatibility reasons, user namespaces are turned off in the current version of Red Hat Enterprise Linux 7, but will be enabled in the near future.

post-factum ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.