В Mon, 27 Aug 2018 23:00:58 +0300 artiom <artio...@yandex.ru> пишет:
> ЫЫЫ: "Subordinate user/group ids appear in Linux kernel 3.12 in 2013." > > Что это я понял. Но для чего это не вполне понятно не только после > прочтения man, но и после прочтения док, даже то, что "для LXC" не > сильно прояснило ситуацию. > Русским языком можете объяснить, зачем эта штука появилась? Чтобы позапутаннее было. Система namespace в ядре это "лошадь, изобретенная комитетом". Помнится, в свое время там была такая борьба самолюбий между Parallels, RedHat и еще несколькими компаниями на тему того, как правильно делать контейнеры. В результате получилось несколько эклектично. В принципе понятная мысль - ограничить набор uid-ов, которыми может пользоваться непривилегированный юзер, запуская контейнер. Тогда если у нас есть несколько юзеров, запускающих контейнеры, можно сделать так, чтобы их процессы по uid-ам вообще не пересекались. Только вот ни разу не попадались описания того, что кто-то это используют. Обычно все запускают какой-то демон от рута - docker там или libvirtd, и он уже рулит контейнерами. А наличие в разных контейнерах процессов с одинаковыми uid никого не волнует. -- Victor Wagner <vi...@wagner.pp.ru>