これは、Ubuntu Online、Fedora Online、Windows Online エミュレーター、MAC OS Online エミュレーターなどの複数の無料オンラインワークステーションのいずれかを使用して、OnWorks 無料ホスティングプロバイダーで実行できるコマンド lxc-attach です。
プログラム:
NAME
lxc-attach - 実行中のコンテナ内でプロセスを開始します。
SYNOPSIS
lxc-アタッチ {-n 名} [-a アーチ] [-e] [-s 名前空間] [-R] [--envを維持] [--envをクリア] [--
command]
DESCRIPTION
lxc-アタッチ 指定されたものを実行します command によって指定されたコンテナ内 名を選択します。
コンテナはすでに実行されている必要があります。
ない場合 command が指定されている場合、実行中のユーザーの現在のデフォルトシェル lxc-アタッチ 意志
コンテナ内で検索され、実行されます。そのようなユーザーが存在しない場合は失敗します。
コンテナ内またはコンテナに機能する nsswitch メカニズムがありません。
以前のバージョンの lxc-アタッチ コンテナの指定された名前空間に単純にアタッチする
疑似端末を割り当てずにシェルまたは指定されたコマンドを実行しました。これは
TIOCSTIによる入力偽装に対して脆弱になった ioctl 切り替えて通話する
異なる権限レベルのユーザー空間実行コンテキスト。 lxc-アタッチ
ホスト上に擬似端末マスター/スレーブペアを割り当て、
疑似端末のスレーブ側を参照する標準ファイル記述子
シェルやコマンドを実行する前にターミナルで設定してください。標準のファイル
記述子は端末を参照する lxc-アタッチ 疑似端末を割り当てようとしません。
代わりに、コンテナの名前空間にアタッチしてシェルまたは
指定されたコマンド。
OPTIONS
-a、 - アーチ アーチ
カーネルが動作しているように見えるアーキテクチャを指定します。
コマンドが実行されました。このオプションは、 lxc.arch オプション
コンテナ設定ファイルでは、 lxc.conf(5)デフォルトでは、現在の
実行中のコンテナのアーキテクチャが使用されます。
-e、 --昇格された権限 特権
実行時に権限を落とさない command コンテナ内。このオプションが
指定すると、新しいプロセスは コンテナのcgroupに追加され、
実行前にその機能を削除しません。
すべての権限を昇格したくない場合は、次のように権限を指定することができます。
パイプ区切りのリスト、例: Cグループ|LSM許容値は CGグループ, キャップ LSM
それぞれcgroup、機能、制限権限を表します。(
パイプ記号はエスケープする必要があります。例: CGROUP\|LSM または引用、例えば 「CGROUP|LSM」.)
警告: コマンドが起動するとコンテナに権限が漏れる可能性がある
アタッチされたメインプロセスが終了してもアクティブなままのサブプロセス
終了しました。コンテナ内のデーモンの(再)起動は問題があります。
特にデーモンが多数のサブプロセスを起動する場合、例えば cron or sshd.
素晴らしい ケア。
-s、 --名前空間 名前空間
アタッチする名前空間を、パイプで区切られたリストとして指定します。 ネットワーク|IPC.
許可される値は MOUNT, PID, UTSNAME, IPC, USER NETWORK. これにより、
プロセスのコンテキストをコンテナのネットワーク名前空間などに変更します
他の名前空間はホストのものとして保持します。 (パイプ記号には
エスケープされる、例えば マウント\|PID または引用、例えば "マウント|PID".)
重要: このオプションは、 -e.
-NS、 --remount-sys-proc
使用時 -s マウント名前空間が含まれていない場合、このフラグは lxc-
アタッチ 再乗車する / proc / sys 現在の他の名前空間コンテキストを反映します。
ご覧ください Notes 詳細についてはセクションを参照してください。
いずれにせよマウント名前空間に接続しようとすると、このオプションは無視されます。
--env を維持する
添付プログラムの現在の環境を維持します。これが現在のデフォルトです。
動作は(バージョン0.9時点)ですが、これは将来変更される可能性があります。
コンテナに望ましくない情報が漏れる可能性があります。環境に依存している場合は
添付のプログラムで利用できるので、将来的にはこのオプションを使用してください。
証明。現在の環境変数に加えて、container=lxc が設定されます。
--envをクリアする
アタッチする前に環境をクリアして、不要な環境変数が漏れないようにします。
コンテナに。変数container=lxcは、
添付のプログラムが起動します。
COMMON OPTIONS
これらのオプションは、ほとんどの lxc コマンドに共通です。
-?、 -NS、 - 助けて
通常よりも長い使用状況メッセージを出力します。
- 利用方法
使用方法のメッセージを伝える
-NS、 - 静かな
ミュートオン
-NS、 --lxcpath=パス
代替コンテナ パスを使用します。 デフォルトは /var/lib/lxc です。
-o、 --logfile =FILE
代替ログへの出力 FILE。 デフォルトはログなしです。
-l、 --logpriority=LEVEL
ログの優先順位を次のように設定します LEVEL。 デフォルトのログ優先度は ERROR です。 可能な値は次のとおりです。
致命的、クリティカル、警告、エラー、通知、情報、デバッグ。
このオプションは、代替ログのイベント ログの優先順位を設定していることに注意してください。
ログファイル。 標準エラー出力の ERROR イベント ログには影響しません。
-NS、 --name =NAME
コンテナ識別子を使用する NAME。 コンテナ識別子の形式は英数字です。
文字列。
- バージョン
バージョン番号を表示します。
例
既存のコンテナ内で実行される新しいシェルを生成するには、
lxc-attach -n コンテナ
実行中のDebianコンテナのcronサービスを再起動するには、
lxc-attach -n コンテナ -- クローン 再起動
実行中のコンテナのネットワークリンクeth1を非アクティブ化するには、
NET_ADMIN機能を使用する場合は、 -e 強化された機能を使用するオプション、
ip ツールがインストールされます:
lxc-attach -n コンテナ -e -- ip は リンク削除 eth1
または、代わりに -s ホストにインストールされたツールを外部で使用する
容器:
lxc-attach -n コンテナ -s ネットワーク -- ip は リンク削除 eth1
互換性の確保
コンテナに完全にアタッチするには(pidとマウント名前空間を含む)、
バージョン3.8以上のカーネル、またはパッチを当てたカーネルについては、lxcのウェブサイトを参照してください。
詳細。 lxc-アタッチ バージョン3.7のパッチ未適用カーネルで使用すると失敗する。
そしてそれ以前。
ただし、パッチを当てていないバージョン3.0以上のカーネルでは、 -s
オプションは、プロセスが接続される名前空間を1つまたは複数に制限するために使用されます。
の詳細 NETWORK, IPC UTSNAME.
ユーザー名前空間への接続は、カーネル3.8以降でサポートされており、ユーザーを有効にすることで可能になります。
名前空間
注意事項
Linux / proc / sys ファイルシステムには、いくつかの量に関する情報が含まれています。
名前空間の影響を受けるもの、例えばプロセスIDにちなんで名付けられたディレクトリなど / proc または
ネットワークインターフェース情報 / sys / class / netマウントするプロセスの名前空間
疑似ファイルシステムは表示される情報を決定します。 プロセスの名前空間
アクセス / proc or / sys.
もし、 -s コンテナのpid名前空間にのみ接続するオプション。
マウント名前空間( / proc コンテナの(ホストではなく)
の内容 / proc はコンテナではなくホストのものを反映する。同様に、
同じ問題が、 / sys / class / net そして、
ネットワーク名前空間。
この問題を回避するには、 -R フラグは再マウントのオプションを提供します / proc / sys in
接続されたプロセスのネットワーク/PID名前空間コンテキストを反映するようにします。
ホストの実際のファイルシステムに干渉しないようにするために、マウント名前空間は
共有されていない(いいね lxc-unshare これを行う前に、プロセスに新しい
マウント名前空間は、ホストのマウント名前空間と同じですが、 / proc
/ sys ファイルシステム。
以前のバージョンの lxc-アタッチ ユーザーがコンテナに接続できるバグが発生しました
重要なサブシステムの書き込み可能なcgroupに配置されることなく、名前空間を保護できます。
のバージョン lxc-アタッチ ユーザーが書き込み可能なcgroupに属しているかどうかを確認します。
重要なサブシステム。 lxc-アタッチ そのため、一部のユーザーにとっては予期せず失敗する可能性があります(例:
重要なシステムでは、非特権ユーザーが書き込み可能なcgroupに配置されていない
ログイン時にサブシステムが再起動されます。ただし、この動作は正しく、より安全です。
SECURITY
当学校区の -e -s オプションは、分離を破壊する可能性があるため、注意して使用する必要があります。
容器を不適切に使用した場合。
onworks.net サービスを使用して lxc-attach をオンラインで使用する
