AdminSysGNULinux

Outils pour utilisateurs

Outils du site

Piste : notes_linux_kernel_namespaces_espace_de_noms
tech:notes_linux_kernel_namespaces_espace_de_noms

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tech:notes_linux_kernel_namespaces_espace_de_noms [2025/10/02 09:26] Jean-Baptistetech:notes_linux_kernel_namespaces_espace_de_noms [2026/03/19 15:50] (Version actuelle) Jean-Baptiste
Ligne 12: Ligne 12:
 * https://man7.org/linux/man-pages/man7/user_namespaces.7.html * https://man7.org/linux/man-pages/man7/user_namespaces.7.html
 * https://developers.redhat.com/blog/2020/09/25/rootless-containers-with-podman-the-basics#example__using_rootless_containers * https://developers.redhat.com/blog/2020/09/25/rootless-containers-with-podman-the-basics#example__using_rootless_containers
-* https://github.com/rootless-containers/slirp4netns+* https://github.com/rootless-containers/slirp4netns (va être remplacé par **pasta** à partir de Podman 5) 
 +* https://blog.quarkslab.com/digging-into-linux-namespaces-part-1.html
 * https://blog.quarkslab.com/digging-into-linux-namespaces-part-2.html * https://blog.quarkslab.com/digging-into-linux-namespaces-part-2.html
 * https://ifeanyi.co/posts/linux-namespaces-part-3/ * https://ifeanyi.co/posts/linux-namespaces-part-3/
 * https://blog.quarkslab.com/digging-into-linux-namespaces-part-2.html * https://blog.quarkslab.com/digging-into-linux-namespaces-part-2.html
 +* https://www.redhat.com/en/blog/building-container-namespaces
 +* https://www.redhat.com/en/blog/container-namespaces-nsenter
 +
 +
 +Sécurité - échappement :
 +* https://book.hacktricks.wiki/en/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/index.html
 +
 +
 +== Commandes unshare nsenter
 +
 +Voir :
 +* https://commandmasters.com/commands/nsenter-linux/
 +* https://thelinuxcode.com/nsenter-linux-command/
 +* https://knowledge.broadcom.com/external/article/389166/using-nsenter-for-troubleshooting-kubern.html
  
  
Ligne 45: Ligne 60:
 nsenter nsenter
 </code> </code>
 +
 +
 +Trouver les processus présents dans des namespaces
 +<code bash>
 +dirname $(grep -l libpod /proc/*/cgroup) | xargs -L1 basename
 +
 +lsns -t pid
 +
 +sudo ps --no-headers -e -o pidns,pid,cmd | grep -v ^$(ps --no-headers -p 1 -o pidns)
 +</code>
 +
 +is-container is-docker
 +<code bash>
 +grep -Eq "docker|libpod" /proc/$$/cgroup
 +grep -Eq "docker|containers" /proc/$$/mountinfo
 +</code>
 +
 +Voir /usr/bin/is-docker (paquet 'node-is-docker') https://github.com/sindresorhus/is-docker/blob/main/index.js
 +
  
 paramètre noyau paramètre noyau
Ligne 84: Ligne 118:
  
 ''user:start_uid:uid_count'' ''user:start_uid:uid_count''
 +
 +Voir `/proc/sys/user/max_user_namespaces`
  
 La valeur du count doit logiquement être supérieur ou égale à l'UID max du conteneur (normalement l'utilisateur nobody) La valeur du count doit logiquement être supérieur ou égale à l'UID max du conteneur (normalement l'utilisateur nobody)
Ligne 199: Ligne 235:
  
 Voir aussi la commande **systemd-cgtop** Voir aussi la commande **systemd-cgtop**
 +
 +== nsenter
 +
 +<code bash>
 +nerdctl inspect --format {{.State.Pid}} kind-control-plane
 +nsenter --target 6491 --mount --uts --ipc --net --pid
 +</code>
  
  
 == Réseau == Réseau
 +
 +Voir :
 +  * https://passt.top/passt/about/#pasta-pack-a-subtle-tap-abstraction ( **pasta** va remplacer **slirp4netns** à partir de Podman 5)
  
 <code bash> <code bash>
 podman unshare --rootless-netns ip addr podman unshare --rootless-netns ip addr
 </code> </code>
 +
  
 == FS Mount  == FS Mount 
tech/notes_linux_kernel_namespaces_espace_de_noms.1759389970.txt.gz · Dernière modification : de Jean-Baptiste
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki