当尝试在启动的 systemd 容器中运行 Apache 时systemd-nspawn --private-users=pick ...(与--private-users=false此解决方案不同),我遇到此错误:
Permission denied: AH00072: make_sock: could not bind to address ...:999
令我困惑的是容器已被授予能力CAP_NET_BIND_SERVICE(getpcaps 1容器内部也证实了这一点),--capability=help表明该能力是受支持的,并且netcat -l 999 -s ...(也在容器内部)显然可以在同一个端口上监听就好了。
我错过了什么?该功能是否应该允许容器内的进程打开主机上的知名端口,无论它们的 PID 是什么?
更新我在调用netcat. 正确的命令行是netcat -vl -p 999 -s ...,现在这会产生“无法抓取 ...:999 with bind : Permission denied”。所以事实上 Apache 和 netcat 都不能在这一点上绑定,这不是 Apache 特定的。关于配置的另外两个事实:容器正在运行root(映射到主机上的非根 pid),iptables主机上是空的。
更新所以也许能力CAP_NET_BIND_SERVICE根本无法超越用户命名空间。
我得出的结论是,
CAP_NET_BIND_SERVICE特定的能力和一般的能力不能超越用户命名空间。来自user_namespaces(7):来自
network_namespaces(7):由于我的案例涉及绑定到主机的主 IP 地址,因此相关的物理网络设备可能必须由内核的根网络名称空间管理。我的容器的用户命名空间中的功能
CAP_NET_BIND_SERVICE可能与那里无关,因为根网络命名空间不与该用户命名空间相关联,而是与内核的根用户命名空间相关联。所以我(大概)在这里不走运。