당신은 명시 적으로 CAP_MKNOD에 추가 할 필요가 능력을 당신에게 용기 .
lxc.cap.keep
Specify the capability to be kept in the container. All other
capabilities will be dropped. When a special value of "none"
is encountered, lxc will clear any keep capabilities specified
up to this point. A value of "none" alone can be used to drop
all capabilities.
다음을 사용하여 이것을 자동화하려고 시도 할 수도 있습니다 ( systemd
컨테이너 내부에서 사용하는 경우 ).
lxc.hook.autodev
A hook to be run in the container's namespace after mounting
has been done and after any mount hooks have run, but before
the pivot_root, if lxc.autodev == 1. The purpose of this hook
is to assist in populating the /dev directory of the container
when using the autodev option for systemd based containers.
The container's /dev directory is relative to the
${LXC_ROOTFS_MOUNT} environment variable available when the
hook is run.
스크립트 실행을 가리킬 수 있습니다 mknod
.
docker
이것을 사용 하는 것은 매우 쉽습니다. 기본적으로 컨테이너는 권한이 없습니다 .
이 예제에서는 trusty
레지스트리에서 컨테이너를 가져옵니다.
sudo -r sysadm_r docker pull corbinu/docker-trusty
Pulling repository corbinu/docker-trusty
...
Status: Downloaded newer image for corbinu/docker-trusty:latest
그리고 내부에 필요한 기능을 알려주는 대화식 모드로 시작하고 있습니다.
sudo -r sysadm_r docker run --cap-drop ALL --cap-add MKNOD \
-i -t corbinu/docker-trusty bash
root@46bbb43095ec:/# ls /dev/
console fd/ full fuse kcore mqueue/ null ptmx pts/ random shm/ stderr stdin stdout tty urandom zero
root@46bbb43095ec:/# mkdir /dev/net
root@46bbb43095ec:/# mknod /dev/net/tun c 10 200
root@46bbb43095ec:/# ls -lrt /dev/net/tun
crw-r--r--. 1 root root 10, 200 Apr 6 16:52 /dev/net/tun
반대로 :
sudo -r sysadm_r docker run --cap-drop ALL \
-i -t corbinu/docker-trusty bash
root@9a4cdc75a5ec:/# mkdir /dev/net
root@9a4cdc75a5ec:/# mknod /dev/net/tun c 10 200
mknod: ‘/dev/net/tun’: Operation not permitted
lxc.mount.entry = /dev/net/tun dev/net/tun none bind,create=file
과 같이 컨테이너 구성 파일 에 추가 해야했습니다. superuser.com/a/1205662/130915 그런 다음 컨테이너 내부에 sudo를 사용하여 root로 openvpn을 실행했습니다.