我正在使用隔离器,隔离器来隔离另一个使用 Linux 容器的程序的执行。它非常方便,并且在我的计算机本地运行良好(我可以运行分叉炸弹和无限循环,它可以保护一切)。
现在我试图让它在我拥有的 Ubuntu 12.04 服务器上工作,但我遇到了一些困难。这也是一个新的服务器。
当我运行时:
sudo isolate --run -- mycommand
(mycommand我通常尝试python3或其他东西),我得到:
clone: Operation not permitted
所以,我挖掘了克隆函数(在 中像这样调用isolate.c):
box_pid = clone(
box_inside, // Function to execute as the body of the new process
argv, // Pass our stack
SIGCHLD | CLONE_NEWIPC | CLONE_NEWNET | CLONE_NEWNS | CLONE_NEWPID,
argv); // Pass the arguments
if (box_pid < 0)
die("clone: %m");
if (!box_pid)
die("clone returned 0");
box_keeper();
这是函数的返回值clone:
成功时,子进程的线程 ID 在调用者的执行线程中返回。失败时,在调用者的上下文中返回 -1,不会创建子进程,并且将适当设置 errno。
这是我得到的错误:
不允许 EPERM 操作 (POSIX.1)
然后我还发现了这个:
EPERM CLONE_NEWNS 由非根进程(没有 CAP_SYS_ADMIN 的进程)指定。
该clone函数确实正在传递CLONE_NEWNS以在新的命名空间中运行程序。我实际上尝试删除,但我不断收到clone: Operation not permitted.
所以,这一切似乎都表明没有 root 权限,但我实际上运行了命令root(有和没有sudo只是为了确定),以及 sudoers 组中的普通用户。这些都没有奏效,但在本地效果很好。Root 权限适用于其他一切,但出于某种原因,当我运行它时isolate程序时,它不起作用。
我也尝试在本地文件夹isolate中使用/usr/bin和运行./isolate。