这在systemd-nspawn的手册页中有所说明
请注意,即使采取了这些安全预防措施,systemd-nspawn也不适用于安全的容器设置。许多安全功能可能会被规避,因此主要用于避免容器对主机系统的意外更改。该程序的预期用途是调试和测试,以及构建与引导和系统管理有关的软件包,发行版和软件。
随后在2011年的邮件列表中提出了这个问题,但答案似乎已经过时了。
systemd-nspawn包含现在CLONE_NEWNET
使用该--private-network
选项执行的代码。这似乎涵盖了私有AF_UNIX
名称空间问题,我想提到了CAP_NET_RAW
和CAP_NET_BIND
问题。
此时仍存在哪些问题,例如LXC除了systemd-nspawn
当前可以做什么以外还做什么?
CLONE_NEWNET
以下内容进行半隔离:抽象套接字-独立的,基于文件系统的-统一的(除非主机与容器之间没有共享的文件系统)。这使得启动X应用程序限制特定应用程序的网络变得很方便(因为Xorg同时打开了抽象套接字和文件系统UNIX套接字)。