linux - 克隆 : operation not permitted

Question

我正在使用 isolate ，一个隔离器，用于隔离另一个使用 Linux 容器的程序的执行。它非常方便，并且在我的本地计算机上运行良好(我可以运行 fork 炸弹和无限循环，它可以保护一切)。

现在我正试图让它在我拥有的 Ubuntu 12.04 服务器上运行，但我遇到了一些困难。这也是一台新服务器。

当我运行时:

sudo isolate --run -- mycommand

(mycommand 我通常尝试 python3 或其他东西)，我得到:

克隆:不允许操作

所以，我研究了克隆函数(在 isolate.c 中这样调用):

box_pid = clone(
  box_inside,           // Function to execute as the body of the new process
  argv,         // Pass our stack
  SIGCHLD | CLONE_NEWIPC | CLONE_NEWNET | CLONE_NEWNS | CLONE_NEWPID,
  argv);            // Pass the arguments
if (box_pid < 0)
  die("clone: %m");
if (!box_pid)
  die("clone returned 0");
box_keeper();

这是函数 clone 的返回值:

On success, the thread ID of the child process is returned in the caller's thread of execution. On failure, -1 is returned in the caller's context, no child process will be created, and errno will be set appropriately.

这是我遇到的错误:

EPERM Operation not permitted (POSIX.1)

然后我还发现了这个:

EPERM CLONE_NEWNS was specified by a non-root process (process without CAP_SYS_ADMIN).

clone 函数确实传递了 CLONE_NEWNS 以在新命名空间中运行程序。我实际上尝试删除，但我一直收到 clone: Operation not permitted。

所以，这一切似乎都表明没有 root 权限，但实际上我以 root 身份运行了命令(有无 sudo 只是为了确定)，以及 sudoers 组中的普通用户。这些都不起作用，但在本地效果很好。 root 权限适用于其他一切，但由于某种原因，当我运行此 isolate 程序时，它不起作用。

我尝试在 /usr/bin 中使用 isolate 并在本地文件夹中运行 ./isolate。

Answer 1

我遇到这个问题是因为我试图在 docker 容器中使用 isolate。

使用 --privileged 标志重新运行容器为我修复了它。