unshare

UNSHARE(1)                   Commandes utilisateur                  UNSHARE(1)



NOM
       unshare - Exécuter un programme avec des espaces de noms non partagés
       par le parent

SYNOPSIS
       unshare [options] programme [arguments]

DESCRIPTION
       Séparer les espaces de noms indiqués du processus parent puis
       exécuter le programme indiqué. Les espaces de noms à isoler sont
       indiqués à  lâaide dâoptions. Les espaces de noms séparables sont les
       suivants.

       espace de noms de montage
              Les montage et démontage de systèmes de fichiers n'affecteront
              pas le reste du système (attribut CLONE_NEWNS), sauf pour les
              systèmes de fichiers explicitement marqués comme partagés
              (avec mount --make-shared, consultez /proc/self/mountinfo pour
              lâattribut shared).

              Utiliser mount --make-rprivate ou mount --make-rslave après
              unshare --mount est recommandé pour sâassurer que ces points de
              montage dans le nouvel espace sont vraiment non partagés avec
              lâespace de noms parent.

       espace de noms UTS
              La configuration de nom d'hôte ou de nom de domaine n'affectera
              pas le reste du système (attribut CLONE_NEWUTS).

       espace de noms IPC
              Le processus aura un nom d'espace indépendant pour les files de
              messagesSystem V, les ensembles de sémaphores et les segments
              de mémoire partagée (attribut CLONE_NEWIPC).

       espace de noms réseau
              Le processus aura des piles IPv4 et IPv6, des tables de routage
              IP, des règles de pare-feu, des arborescences des répertoires
              /proc/net et /sys/class/net, des sockets, etc., indépendantes
              (attribut CLONE_NEWNET).

       espace de noms PID
              Les fils auront un ensemble propre de PID pour une mise en
              correspondance avec leur parent (attribut CLONE_NEWPID).

       espace de noms utilisateur
              Le processus aura un ensemble propre dâUID, de GID et de
              capacités (attribut CLONE_NEWUSER).

       Consultez clone(2) pour les sémantiques exactes des attributs.

OPTIONS
       -i, --ipc
              Isoler l'espace de noms IPC.

       -m, --mount
              Isoler l'espace de noms de montage.

       -n, --net
              Isoler l'espace de noms réseau.

       -p, --pid
              Isoler l'espace de noms PID. Consultez également les options
              --fork et --mount-proc.

       -u, --uts
              Isoler l'espace de noms UTS.

       -U, --user
              Isoler l'espace de noms utilisateur.

       -f, --fork
              Engendrer le programme indiqué comme un processus fils
              dâunshare plutôt que de lâexécuter directement. Câest utile
              lors de la création dâun nouvel espace de noms PID.

       --mount-proc[=point_de_montage]
              Juste avant dâexécuter le programme, monter le système de
              fichiers proc en point_de_montage (/proc par défaut). Câest
              utile lors de la création dâun nouvel espace de noms PID. Cela
              implique aussi la création dâun nouvel espace de noms de
              montage sinon le montage de /proc perturberait les programmes
              existants sur le système. Le nouveau système de fichiers proc
              est explicitement monté comme privé (par MS_PRIVATE|MS_REC).

       -r, --map-root-user
              Exécuter le programme seulement après que les identifiants
              dâutilisateur et de groupe effectifs aient été mis en
              correspondance avec les UID et GID du superutilisateur dans le
              nouvel espace de noms utilisateur. Cela permet dâobtenir
              facilement les capacités nécessaires pour gérer divers
              aspects des nouveaux espaces de noms (comme la configuration
              dâinterfaces dans lâespace de noms réseau ou le montage des
              systèmes de fichiers dans lâespace de noms de montage) même
              lors dâune exécution ordinaire. En tant que fonctionnalité
              surtout pratique, elle ne permet pas des cas dâutilisation plus
              sophistiquée comme la mise en correspondance de plusieurs
              intervalles dâUID et GID. Cette option implique
              --setgroups=deny.

       -s, --setgroups allow|deny
              Permettre ou interdire lâappel système setgroups(2) dans les
              espaces de noms utilisateur.

              setgroups(2) nâest appelable quâavec CAP_SETGID, et CAP_SETGID
              dans un espace de noms utilisateur (depuis Linux 3.19) ne permet
              pas dâappeler setgroups(2) avant dâavoir défini la carte de
              correspondance de GID. La carte de GID est accessible en
              écriture au superutilisateur quand setgroups(2) est autorisé,
              et la carte de GID devient accessible en écriture aux processus
              normaux quand setgroups(2) est interdit de façon permanente.

       -V, --version
              Afficher les informations sur la version et quitter.

       -h, --help
              Afficher un texte d'aide puis quitter.

EXEMPLES
       # unshare --fork --pid --mount-proc readlink /proc/self
       1
              Ãtablir un espace de noms PID, sâassurer dâêtre le PID 1 dedans
              contre lâinstance procfs nouvellement montée.

       $ unshare --map-root-user --user sh -c whoami
       root
              Ãtablir un espace de noms utilisateur en tant quâutilisateur
              ordinaire avec un superutilisateur dedans.

VOIR AUSSI
       clone(2), unshare(2), mount(8)

BOGUES
       Aucun connu pour le moment.

AUTEUR
       Mikhail Gusarov <dottedmag@dottedmag.net>

DISPONIBILITÃ
       La commande unshare fait partie du paquet util-linux, elle est
       disponible sur <ftp://ftp.kernel.org/pub/linux/utils/util-linux/>.



util-linux                       juillet 2014                       UNSHARE(1)