我正在使用linux命名空间,我注意到如果用户想要在新的网络命名空间中执行进程(不使用用户命名空间),他需要是root用户或拥有{{1能力。
unshare(2)联机帮助页说:
CLONE_NEWNET(自Linux 2.6.24起)
此标志与clone(2)CLONE_NEWNET标志具有相同的效果。 取消共享网络命名空间,以便将调用进程移动到新的网络命名空间中,该命名空间不与任何以前存在的进程共享。使用CLONE_NEWNET需要CAP_SYS_ADMIN功能。
因此,如果我想在网络沙箱中执行pdf阅读器,我必须使用user-net-namespaces或某些特权包装器。
为什么呢?新进程将被放置在没有接口的新网络命名空间中,因此它将与真实网络隔离,对吧?非特权非用户网络命名空间会引发哪种问题/安全威胁?