我正在使用isolate,它是一个隔离器,用于隔离使用Linux容器执行的另一个程序。它非常方便,并且可以在我的计算机上本地很好地工作(我可以运行fork炸弹和无限循环,它可以保护所有内容)。
现在,我正在尝试使其在我拥有的Ubuntu 12.04服务器上工作,但遇到一些困难。这也是一台全新的服务器。
当我运行时:sudo isolate --run -- mycommand
(mycommand
我通常尝试python3
或其他方法),我得到:clone: Operation not permitted
因此,我研究了clone函数(在isolate.c
中这样调用):
box_pid = clone(
box_inside, // Function to execute as the body of the new process
argv, // Pass our stack
SIGCHLD | CLONE_NEWIPC | CLONE_NEWNET | CLONE_NEWNS | CLONE_NEWPID,
argv); // Pass the arguments
if (box_pid < 0)
die("clone: %m");
if (!box_pid)
die("clone returned 0");
box_keeper();
这是函数
clone
的返回值:这是我得到的错误:
然后我也发现了这一点:
clone
函数确实传递了CLONE_NEWNS
以在新的 namespace 中运行该程序。我实际上尝试删除,但是我一直在获取clone: Operation not permitted
。因此,这似乎都表明没有root特权,但实际上我以
root
(确保带有和不带有sudo
)以及sudoers组中的普通用户身份运行了该命令。这些都不起作用,但是在本地效果很好。根特权可用于其他所有功能,但是由于某种原因,当我运行此isolate
程序时,它不起作用。我同时尝试了
isolate
中的/usr/bin
和本地文件夹中的./isolate
。 最佳答案
我遇到了这个问题,因为我试图在docker容器中使用隔离。
重新运行带有--privileged
标志的容器对我来说是固定的。