什么脚本可以允许普通用户使用网络名称空间？

我有一个使用网络名称空间（netns）的体系结构。我想允许普通用户在这些netns中进行一些操作。

我可以编写一个netns-exec.sh受本文启发的脚本，由执行sudo，包含：

ip netns exec $1 su $USER -c "$2"

并添加到我的sudoer文件中：

user ALL=(ALL) /path/to/netns-exec.sh

但是我发现它是如此丑陋，我完全可以做噩梦。有没有更好的解决方案，允许普通用户使用名称空间？是否可以将用户分成一些有用的组？我搜索了一下，但一无所获。

解决方案1

只需添加一个名为“ netns”的组，即可向其中添加所有需要的用户。然后将所有权授予root：netns并赋予该组读取/执行功能。

换句话说：

# New group netns
sudo groupadd --system netns

# Add root to "netns", not sure if needed
sudo usermod -aG netns root

# Do this for every needed user
sudo usermod -aG netns $UserName

# Change ownership to root, grant rw acces to group netns
sudo chown root:netns /path/to/netns-exec.sh
sudo chmod 633 /path/to/netns-exec.sh

解决方案2

此解决方案比较简单，您必须编辑sudoers文件，如本示例所示。

user ALL=(ALL) /bin/ip netns

我个人不知道是否有可能允许普通用户在不同的网络名称空间中运行命令，但是此带注释的shell脚本可能更适合您的需求：

#!/bin/bash
# ip netns wrapper script, nns.
# Usage: nns nsname cmdline

case "${1}" in
    do)
        shift # remove "do"
        NSNAME="${1}" # remember nsname
        shift # remove nsname to get argument list for su -c
        [ -z "${NSNAME}" -o -z "${1}" ] && exit 1 # if either nsname or arglist is empty - error out
        echo ip netns exec "${NSNAME}" su "${SUDO_USER}" -c "${*}" # execute, ${*} merges separate arguments into single word for su/sh -c parsing. See with strace.
    ;;
    *)
        SCRIPTNAME="${0}" # remember script full path
        exec sudo "${SCRIPTNAME}" do "${@}" # run it through sudo with elevated privileges
    ;;
esac

将其安装在某处，/usr/bin并允许您的用户执行它。

Firejail 可以胜任

firejail --noprofile --netns=nameOfNetSpace command

另外，Netns-Exec，Nsutils和Netns不需要root