これは、systemd-nspawnの manページに記載されています
これらのセキュリティ予防措置が講じられているにもかかわらず、systemd-nspawnは安全なコンテナのセットアップには適していないことに注意してください。セキュリティ機能の多くは回避される可能性があるため、コンテナからホストシステムへの偶発的な変更を避けるために主に役立ちます。このプログラムの使用目的は、ブートとシステム管理に関連するパッケージ、ディストリビューション、およびソフトウェアの構築だけでなく、デバッグとテストです。
この質問は2011年にメーリングリストで続けて尋ねられましたが、答えは時代遅れのようです。
systemd-nspawnにはCLONE_NEWNET
、--private-network
現在このオプションを使用して実行するコードが含まれています。これは、プライベートカバーすると思われるAF_UNIX
名前空間の問題を、と私は推測CAP_NET_RAW
してCAP_NET_BIND
問題が言及しました。
この時点でどのような問題が残っており、systemd-nspawn
現在できることに加えて、たとえばLXCは何をしていますか?
CLONE_NEWNET
ソケットで分離されます:抽象ソケット-個別のファイルシステムベース-結合(ホストとコンテナ間に共有ファイルシステムがない場合を除く)。これにより、特定のアプリケーションのネットワークを禁止してXアプリケーションを開始するのが便利になります(Xorgは抽象とファイルシステムの両方のUNIXソケットを開くため)。