Bu systemd-nspawn kılavuz sayfasında belirtilmiştir.
Bu güvenlik önlemlerinin alınmasına rağmen, güvenli bir kurulum için uygun değildir. Güvenlik özelliklerinin birçoğu atlanabilir ve bu nedenle, ana sistemde kaptan yanlışlıkla yapılan değişiklikleri önlemek için öncelikle yararlıdır. Bu programın kullanım amacı, hata ayıklama ve test işlemlerinin yanı sıra önyükleme ve sistem yönetimi ile ilgili paketlerin, dağıtımların ve yazılımların oluşturulmasıdır.
Bu soruyu daha sonra 2011'de posta listesinde soruldu , ancak cevap modası geçmiş gibi görünüyor.
systemd-nspawn, şimdi seçeneği CLONE_NEWNET
kullanarak yürütülecek kodu içerir --private-network
. Bu, özel AF_UNIX
ad alanı sorununu ele alıyor gibi görünüyor CAP_NET_RAW
ve CAP_NET_BIND
bahsettiğim ve sorunları da tahmin ediyorum .
Bu noktada hangi sorunlar devam etmektedir ve örneğin LXC systemd-nspawn
şu anda neler yapabildiğine ek olarak neler yapmaktadır?
CLONE_NEWNET
: soyut yuvalar - ayrı, filesytem tabanlı - birleşik (ana bilgisayar ve kapsayıcı arasında paylaşılan dosya sistemi yoksa). Bu, belirli bir uygulama için ağı engelleyen X uygulamalarının başlatılmasını kolaylaştırır (Xorg hem özet hem de dosya sistemi UNIX soketini açar).