Jest to podane na stronie podręcznika systemd-nspawn
Należy pamiętać, że pomimo zastosowania tych środków bezpieczeństwa systemd-nspawn nie nadaje się do bezpiecznych konfiguracji kontenerów. Wiele funkcji bezpieczeństwa można obejść i dlatego są one przede wszystkim przydatne w celu uniknięcia przypadkowych zmian w systemie hosta z kontenera. Przeznaczeniem tego programu jest debugowanie i testowanie, a także budowanie pakietów, dystrybucji i oprogramowania związanego z uruchamianiem systemu i zarządzaniem systemami.
To samo pytanie zostało następnie zadane na liście mailingowej w 2011 r. , Ale odpowiedź wydaje się nieaktualna.
systemd-nspawn zawiera kod do wykonania CLONE_NEWNET
przy użyciu --private-network
opcji teraz. To wydaje się pokrywać z prywatnej AF_UNIX
emisji przestrzeni nazw, a Chyba CAP_NET_RAW
i CAP_NET_BIND
kwestie wymienione.
Jakie problemy pozostają w tym momencie i co robi na przykład LXC oprócz tego, co systemd-nspawn
obecnie można zrobić?
CLONE_NEWNET
: gniazdom abstrakcyjnym - oddzielnym, opartym na systemie plików - zjednoczonym (chyba że nie ma współdzielonych systemów plików między hostem a kontenerem). Ułatwia to uruchamianie aplikacji X z wyłączeniem sieci dla określonej aplikacji (ponieważ Xorg otwiera zarówno gniazdo abstrakcyjne, jak i gniazdo systemu plików UNIX).