История изменений
Исправление
i586,
(текущая версия)
:
IMHO у контейнера своя net_ns
Да, стркутура netns_ipv4 в каждом netns своя. Раз ему удается из контейнера читать/писать в хостовую netns_ipv4, то у него в контейнере хостовый неймспейс.
Это, конечно, можно запретить seccomp(==eBPF) в docker, mask/umask в последних подманах, но это все странно и не очень работает, т.к. есть куча других способов читать/писать netns_ipv4.
Исходная версия
i586,
:
IMHO у контейнера своя net_ns
Да, стркутура netns_ipv4 в каждом netns своя. Раз ему удается из контейнера читать/писать в хостовую netns_ipv4, то у него в контейнере хостовый неймспейс.
Это, конечно, можно запретить seccomp(==eBPF) в docker, mask/umask в последних подманах, но это все странно.