Điều này được nêu trong trang man cho systemd-nspawn
Lưu ý rằng mặc dù các biện pháp phòng ngừa bảo mật này được thực hiện systemd-nspawn không phù hợp cho các thiết lập vùng chứa an toàn. Nhiều tính năng bảo mật có thể bị phá hỏng và do đó chủ yếu hữu ích để tránh những thay đổi ngẫu nhiên cho hệ thống máy chủ từ container. Mục đích sử dụng của chương trình này là gỡ lỗi và thử nghiệm cũng như xây dựng các gói, bản phân phối và phần mềm liên quan đến khởi động và quản lý hệ thống.
Câu hỏi này sau đó đã được hỏi trong danh sách gửi thư vào năm 2011 , nhưng câu trả lời dường như đã lỗi thời.
systemd-nspawn chứa mã để thực thi CLONE_NEWNET
bằng cách sử dụng --private-network
tùy chọn ngay bây giờ. Điều này dường như bao gồm AF_UNIX
vấn đề không gian tên riêng tư , và tôi đoán CAP_NET_RAW
và CAP_NET_BIND
các vấn đề được đề cập.
Những vấn đề còn tồn tại ở thời điểm này và ví dụ LXC làm gì ngoài những gì systemd-nspawn
hiện có thể làm?
CLONE_NEWNET
: ổ cắm trừu tượng - riêng biệt, dựa trên tập tin - thống nhất (trừ khi không có hệ thống tập tin chia sẻ giữa máy chủ và bộ chứa). Điều này thuận tiện để khởi động các ứng dụng X chặn mạng cho ứng dụng cụ thể (vì Xorg mở cả ổ cắm UNIX trừu tượng và hệ thống tập tin).