이것은 systemd-nspawn 의 맨 페이지에 명시되어 있습니다
이러한 보안 예방 조치를 취하더라도 systemd-nspawn은 안전한 컨테이너 설정에 적합하지 않습니다. 많은 보안 기능이 우회 될 수 있으므로 컨테이너에서 호스트 시스템이 실수로 변경되는 것을 방지하는 데 주로 유용합니다. 이 프로그램의 목적은 부팅 및 시스템 관리와 관련된 패키지, 배포판 및 소프트웨어의 구축은 물론 디버깅 및 테스트입니다.
이 질문은 이후 2011 년 메일 링리스트에서 요청 되었지만 답변이 구식 인 것 같습니다.
systemd-nspawn에는 지금 옵션을 CLONE_NEWNET
사용하여 실행할 코드가 포함되어 있습니다 --private-network
. 이것은 개인 AF_UNIX
네임 스페이스 문제 를 다루는 것으로 보이며 언급 한 CAP_NET_RAW
및 CAP_NET_BIND
문제를 추측합니다 .
현재 어떤 문제가 남아 있으며 LXC와 같이 systemd-nspawn
현재 수행 할 수있는 작업 외에도 어떤 문제 가 있습니까?
CLONE_NEWNET
추상 소켓-별도의 파일 시스템 기반-단위로 반 분리됩니다 (호스트와 컨테이너 사이에 공유 파일 시스템이없는 경우 제외). 이는 Xorg가 추상 및 파일 시스템 UNIX 소켓을 모두 열므로 특정 응용 프로그램에 대해 네트워크를 차단하는 X 응용 프로그램을 시작하는 것이 편리합니다.