我正在使用isolate,它是一个隔离器,用于隔离使用Linux容器执行的另一个程序。它非常方便,并且可以在我的计算机上本地很好地工作(我可以运行fork炸弹和无限循环,它可以保护所有内容)。

现在,我正在尝试使其在我拥有的Ubuntu 12.04服务器上工作,但遇到一些困难。这也是一台全新的服务器。

当我运行时:
sudo isolate --run -- mycommand
(mycommand我通常尝试python3或其他方法),我得到:
clone: Operation not permitted
因此,我研究了clone函数(在isolate.c中这样调用):

box_pid = clone(
  box_inside,           // Function to execute as the body of the new process
  argv,         // Pass our stack
  SIGCHLD | CLONE_NEWIPC | CLONE_NEWNET | CLONE_NEWNS | CLONE_NEWPID,
  argv);            // Pass the arguments
if (box_pid < 0)
  die("clone: %m");
if (!box_pid)
  die("clone returned 0");
box_keeper();

这是函数clone的返回值:



这是我得到的错误:



然后我也发现了这一点:


clone函数确实传递了CLONE_NEWNS以在新的 namespace 中运行该程序。我实际上尝试删除,但是我一直在获取clone: Operation not permitted

因此,这似乎都表明没有root特权,但实际上我以root(确保带有和不带有sudo)以及sudoers组中的普通用户身份运行了该命令。这些都不起作用,但是在本地效果很好。根特权可用于其他所有功能,但是由于某种原因,当我运行此isolate程序时,它不起作用。

我同时尝试了isolate中的/usr/bin和本地文件夹中的./isolate

最佳答案

我遇到了这个问题,因为我试图在docker容器中使用隔离。

重新运行带有--privileged标志的容器对我来说是固定的。

10-07 20:24