Próbuję wymyślić, jak włączyć funkcję przestrzeni nazw użytkownika w moim jądrze (myślę, że CAP_SYS_USER_NS). Używam Debian Stretch, jądro 4.6.0-1-amd64.
Zakładam, że istnieje sposób na włączenie przestrzeni nazw użytkowników i rekompilację jądra. Po kilku godzinach poszukiwań mogę znaleźć post z robieniem tego w Ubuntu ( https://blog.tutum.co/2013/12/14/enabling-the-user-namespace-in-ubuntu-13-10-saucy/ ), ale nie Debian (problem może być taki, że jestem na złym torze, więc moje wyszukiwania są poza bazą).
Moja końcowa gra polega na włączeniu ich, aby nadążać za Dockerem i piaskownicą Google, które najwyraźniej wymagają włączania przestrzeni nazw użytkownika w jądrze (np. Moje kontenery Chrome już nie działają).
debian
linux-kernel
Senrabdet
źródło
źródło
Odpowiedzi:
Na Debianie userns jest wkompilowany, ale domyślnie wyłączony. W jądrze znajduje się łatka specyficzna dla Debiana, która dodaje następujące pokrętło sysctl:
kernel.unprivileged_userns_clone
Musisz więc dodać nowy wpis
/etc/sysctl.d
i ustawić go na 1Ręcznie byłoby to:
echo 1 > /proc/sys/kernel/unprivileged_userns_clone
(aby włączyć go do ponownego uruchomienia)dla stałego rozwiązania:
Możliwe, że istnieje równoważny parametr opcji rozruchu, po prostu nie wiem
źródło
4.9.0-1-amd64 #1 SMP Debian 4.9.6-3 (2017-01-28) x86_64 GNU/Linux
.sudo sysctl -w kernel.unprivileged_userns_clone=1
.