Como permitir que aplicativos no acesso de namespace de rede ao sistema de arquivos global?

1

Eu tenho vários aplicativos que são potencialmente de alto risco e alto rendimento (como bind, ntpd, etc.). Eu planejo ter um "domínio de gerenciamento" para tarefas do SO, atualizações, SNMP, automação, etc. e um "domínio de serviço" que inclui apenas os daemons com os quais estou fornecendo serviços.

Eu criei com êxito namespaces de rede para eles, endereços IP dedicados, rotas discretas, etc. Eu gostaria de poder usar IPtables para registrar certos comportamentos que atingem os daemons dentro dos namespaces (dispositivos exclusivos solicitando pesquisas recursivas no DNS , etc.) mas não consigo fazer com que o destino "LOG" em IPtables funcione. Eu tentei executar um daemon syslog dentro do ns, mas ainda não funciona. Pode querer escrever para o sistema de arquivos global e não ser permitido. Sou um pouco novo nos namespaces, por isso qualquer pensamento é apreciado.

    
por Dan 23.04.2015 / 18:26

0 respostas