Gostaria de executar um programa que requer permissão de root para fazer alterações no arquivo /etc/hosts (e possivelmente em outros). Essas mudanças são necessárias apenas para esse programa, então eu gostaria de isolá-las de outros processos.
Aqui é baseado na configuração do LXC abordagem, mas eu prefiro uma solução mais simples possível.
O manual Unshare sugere que é impossível criar um namespace de montagem para esse propósito sem CAP_SYS_ADMIN .
Usando unshare -r -m , sou capaz de montar o sistema de arquivos do host, mas não sei como adicionar overlayfs nele. Devo montar o novo sistema de arquivos e chroot dentro do contêiner?