57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

faefa7f8584a7d1567df2e6f1f9240a28a6466abStéphane Graber<!DOCTYPE refentry PUBLIC @docdtd@ [

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi<!ENTITY commonoptions SYSTEM "@builddir@/common_options.sgml">

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi<!ENTITY seealso SYSTEM "@builddir@/see_also.sgml">

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi]>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi<refentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <docinfo><date>@LXC_GENERATE_DATE@</date></docinfo>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refmeta>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refentrytitle>lxc-attach</refentrytitle>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <manvolnum>1</manvolnum>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refmeta>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refnamediv>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refname>lxc-attach</refname>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refpurpose>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

6127da6b3f5815028bee187ac98840cd94313841KATOH Yasufumi 実行中のコンテナ内でプロセスの開始

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refpurpose>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refnamediv>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsynopsisdiv>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <cmdsynopsis>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <command>lxc-attach</command>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="req">-n, --name <replaceable>name</replaceable></arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">-f, --rcfile <replaceable>config_file</replaceable></arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">-a, --arch <replaceable>arch</replaceable></arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">-e, --elevated-privileges <replaceable>privileges</replaceable></arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">-s, --namespaces <replaceable>namespaces</replaceable></arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">-R, --remount-sys-proc</arg>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <arg choice="opt">--keep-env</arg>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <arg choice="opt">--clear-env</arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">-L, --pty-log <replaceable>file</replaceable></arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">-v, --set-var <replaceable>variable</replaceable></arg>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <arg choice="opt">--keep-var <replaceable>variable</replaceable></arg>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <arg choice="opt">-- <replaceable>command</replaceable></arg>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </cmdsynopsis>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsynopsisdiv>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <title><!-- Description -->説明</title>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi <command>lxc-attach</command> は <replaceable>name</replaceable> で指定したコンテナ内で指定した <replaceable>command</replaceable> を実行します。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 実行する時点でコンテナが実行中でなければなりません。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi もし <replaceable>command</replaceable> が指定されていない場合、<command>lxc-attach</command> コマンドを実行したユーザのデフォルトシェルをコンテナ内で調べて実行します。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi もしコンテナ内にユーザが存在しない場合や、コンテナで nsswitch 機構が働いていない場合はこの動作は失敗します。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi <para>

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi <!--

f025e64819ea14ea5f87eae652a1666cdcbb640eKATOH Yasufumi 前のバージョンの <command>lxc-attach</command> は、単に指定したコンテナの名前空間にアタッチし、最初に擬似端末 (pseudo terminal) を割り当てないで、シェルもしくは指定したコマンドを実行しました。

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi これは、異なる特権レベルを持つユーザ空間の実行コンテキストを切り替えた後に、TIOCSTI <command>ioctl</command> の呼び出し経由で擬似入力を行うことに対して脆弱となります。

f025e64819ea14ea5f87eae652a1666cdcbb640eKATOH Yasufumi 新しいバージョンの <command>lxc-attach</command> は、ホスト上の擬似端末のマスター/スレーブのペアを割り当てようとします。そしてシェルやコマンドを実行する前に、擬似端末のスレーブ側に対して、ターミナルを参照する標準ファイルディスクリプタをアタッチします。

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi ターミナルを参照する標準ファイルディスクリプタがない場合は、<command>lxc-attach</command> は擬似端末の割り当てを行わないことに注意してください。代わりに、単にコンテナの名前空間にアタッチし、シェルや指定したコマンドを実行します。

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <title><!-- Options -->オプション</title>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <variablelist>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <varlistentry>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <term>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <option>-f, --rcfile <replaceable>config_file</replaceable></option>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </term>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <listitem>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <!--

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi コンテナの仮想化、隔離機能の設定のための設定ファイルを指定します。

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <!--

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi (lxc-create 経由で) 前もってコンテナが作られた際の設定ファイルが既にあった場合でも、このオプションが指定された場合は、指定した設定ファイルが使用されます。

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </listitem>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </varlistentry>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <option>-a, --arch <replaceable>arch</replaceable></option>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi コマンドを実行するコンテナのアーキテクチャを指定します。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi このオプションは、コンテナの設定ファイルで指定する <option>lxc.arch</option> オプションと同じものが使用可能です。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <citerefentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refentrytitle><filename>lxc.conf</filename></refentrytitle>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <manvolnum>5</manvolnum>

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi </citerefentry> を参照してください。デフォルトでは、実行しているコンテナのアーキテクチャになります。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <term>

1b29d73cba7a54227f937969de05fc0cfa07580aKATOH Yasufumi <option>

1b29d73cba7a54227f937969de05fc0cfa07580aKATOH Yasufumi -e, --elevated-privileges <replaceable>privileges</replaceable>

1b29d73cba7a54227f937969de05fc0cfa07580aKATOH Yasufumi </option>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi コンテナの内部で <replaceable>command</replaceable> を実行する時に特権を削除しません。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi もしこのオプションが指定された場合、新しいプロセスはコンテナの cgroup に追加 <emphasis>されず</emphasis>、実行する前にケーパビリティ (capability) も削除しません。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

1b29d73cba7a54227f937969de05fc0cfa07580aKATOH Yasufumi <para>

1b29d73cba7a54227f937969de05fc0cfa07580aKATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 全ての特権の取得したくない場合は、パイプで連結したリストとして、例えば <replaceable>CGROUP|LSM</replaceable> のように、特権を指定することが可能です。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 指定できる値は、それぞれ cgroup、ケーパビリティ、特権の制限を表す <replaceable>CGROUP</replaceable>、<replaceable>CAP</replaceable>、<replaceable>LSM</replaceable> です。

352470062e49751bca512a2817446962a35aedc0KATOH Yasufumi (パイプ記号を <replaceable>CGROUP\|LSM</replaceable> のようにエスケープするか、<replaceable>"CGROUP|LSM"</replaceable> のように引用符号を付ける必要があります。)

1b29d73cba7a54227f937969de05fc0cfa07580aKATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

9a97d4e4bdf331bb2c2b8ed14bcefa53358c288fKATOH Yasufumi <emphasis>警告：</emphasis>

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi もし実行するコマンドが、アタッチするメインプロセスが終了した後も実行されたままのサブプロセスを開始するような場合、このオプションの指定はコンテナ内への特権のリークとなる可能性があります。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi コンテナ内でのデーモンの開始(もしくは再起動)は問題となります。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi デーモンが多数のサブプロセスを開始する <command>cron</command> や <command>sshd</command> のような場合は特に問題となります。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi <emphasis>充分な注意を払って使用してください。</emphasis>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <option>-s, --namespaces <replaceable>namespaces</replaceable></option>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi アタッチする名前空間をパイプで連結したリストで指定します。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 例えば <replaceable>NETWORK|IPC</replaceable> のようにです。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi ここで使用可能な値は <replaceable>MOUNT</replaceable>, <replaceable>PID</replaceable>, <replaceable>UTSNAME</replaceable>, <replaceable>IPC</replaceable>, <replaceable>USER </replaceable>, <replaceable>NETWORK</replaceable> です。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi これにより指定した名前空間にプロセスのコンテキストを変更できます。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 例えばコンテナのネットワーク名前空間に変更する一方で、他の名前空間はホストの名前空間のままにするというような事が可能です。

352470062e49751bca512a2817446962a35aedc0KATOH Yasufumi (パイプ記号を <replaceable>MOUNT\|PID</replaceable> のようにエスケープするか、<replaceable>"MOUNT|PID"</replaceable> のように引用符号を付ける必要があります。)

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi <emphasis>重要:</emphasis> このオプションは <option>-e</option> オプションを指定しなくても指定している場合と同様の動作をします。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <option>-R, --remount-sys-proc</option>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi <option>-s</option> を指定し、そこにマウント名前空間が含まれない時、このオプションにより <command>lxc-attach</command> は <replaceable>/proc</replaceable> と <replaceable>/sys</replaceable> をリマウントします。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi これは現在の他の名前空間のコンテキストを反映させるためです。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi もっと詳細な説明は <emphasis>注意</emphasis> を参照してください。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi このオプションは、マウント名前空間へのアタッチが行われる場合は無視されます。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <option>--keep-env</option>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi アタッチされるプログラムに対して現在の環境を保持したままにします。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi これは現在 (バージョン 0.9 時点) のデフォルトの動作ですが、将来は変更される予定です。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi この動作がコンテナ内への望ましくない情報の漏洩につながる可能性があるためです。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi アタッチするプログラムで環境変数が利用可能であることを期待している場合、将来的にもそれが保証されるようにこのオプションを使用するようにしてください。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 現在の環境変数に加えて、container=lxc が設定されます。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <option>--clear-env</option>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </term>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi アタッチする前に環境変数をクリアします。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi これによりコンテナへの不要な環境変数の漏洩が起こらなくなります。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 変数 container=lxc のみがアタッチするプログラムの開始の時の環境変数となります。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </listitem>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </varlistentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <varlistentry>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <term>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <option>-L, --pty-log <replaceable>file</replaceable></option>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi </term>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <listitem>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <para>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <!--

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <command>lxc-attach</command> の出力を記録するファイルを指定します。

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi </para>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <para>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <!--

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi <emphasis>重要:</emphasis> 標準ファイルディスクリプタが pty を参照していない場合、それらに対する出力は記録されないでしょう。

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi </para>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi </listitem>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi </varlistentry>

b1b14a4e3e215e228d09d99911603b25b98049b7KATOH Yasufumi

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <varlistentry>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <term>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <option>-v, --set-var <replaceable>variable</replaceable></option>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </term>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <listitem>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <!--

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi コンテナにアタッチしたプログラムから見える環境変数を追加します。このオプションは "VAR=VALUE" の形式で指定し、複数回指定できます。

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </listitem>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </varlistentry>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <varlistentry>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <term>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <option>--keep-var <replaceable>variable</replaceable></option>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </term>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <listitem>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <!--

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi <replaceable>--clear-env</replaceable> を指定した際に、クリアせずに保持したままにしたい環境変数を指定します。<replaceable>--clear-env</replaceable> と同時にしか使えません。複数回指定できます。

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </para>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </listitem>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi </varlistentry>

9b9e2d5e20be33cb7534f3fedceb9e2a7e04dd43KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </variablelist>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi &commonoptions;

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <title><!-- Examples -->例</title>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 存在するコンテナ内で新しいシェルを生成するには、以下のようにします。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <programlisting>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi lxc-attach -n container

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </programlisting>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 実行中の Debian コンテナの cron サービスを再起動するには、以下のように実行します。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <programlisting>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi lxc-attach -n container -- /etc/init.d/cron restart

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </programlisting>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi NET_ADMIN ケーパビリティを持たない実行中のコンテナのネットワークインターフェース eth1 の動作を停止させるには、ケーパビリティを増加させるために <option>-e</option> オプションを指定し、<command>ip</command> ツールがインストールされていることを前提に、以下のように実行します。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <programlisting>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi lxc-attach -n container -e -- /sbin/ip link delete eth1

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </programlisting>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <title><!-- Compatibility -->互換性</title>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi (pid とマウント名前空間を含む) コンテナに対する完全なアタッチを行うには 3.8 以上、もしくはパッチを適用したカーネルが必要となります。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 詳しくは lxc のウェブサイトを参照してください。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi パッチが当たっていない 3.8 より小さなバージョンのカーネルを使った場合は、<command>lxc-attach</command> の実行は失敗するでしょう。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi しかし、もし <option>-s</option> を使用して、アタッチするものを <replaceable>NETWORK</replaceable>, <replaceable>IPC</replaceable>, <replaceable>UTSNAME</replaceable> の 1 つか複数の名前空間に限定して使用すれば、バージョン 3.0 以上のパッチを適用していないカーネルでもアタッチが成功するでしょう。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi ユーザ名前空間へのアタッチは、ユーザ名前空間機能を有効にした 3.8 以上のカーネルでサポートされます。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <title><!-- Notes -->注意</title>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi Linux の <replaceable>/proc</replaceable> と <replaceable>/sys</replaceable> ファイルシステムは名前空間によって影響を受けるある程度の情報を持っています。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi これは <replaceable>/proc</replaceable> 内のプロセス ID の名前のディレクトリや、<replaceable>/sys/class/net</replaceable> 内のネットワークインターフェース名のディレクトリなどです。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 擬似ファイルシステムをマウントしているプロセスの名前空間が、どのような情報を表示するかを決定します。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi <replaceable>/proc</replaceable> や <replaceable>/sys</replaceable> にアクセスしているプロセスの名前空間が決定するのではありません。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi <option>-s</option> を使ってコンテナの pid 名前空間のみをアタッチし、マウント名前空間 (これはコンテナの <replaceable>/proc</replaceable> を含み、ホストのは含まないでしょう) はアタッチしない場合、<option>/proc</option> のコンテンツはコンテナのものではなく、ホストのものとなります。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 似たような事例として、ネットワーク名前空間のみをアタッチして、<replaceable>/sys/class/net</replaceable> のコンテンツを読んだ場合も同じような事が起こるでしょう。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi この問題への対処のために、<option>-R</option> オプションが <replaceable>/proc</replaceable> と <replaceable>/sys</replaceable> が提供されています。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi これにより、アタッチするプロセスのネットワーク/pid 名前空間のコンテキストを反映させることができます。ホストの実際のファイルシステムに影響を与えないために、実行前にはマウント名前空間は unshare されます (<command>lxc-unshare</command> のように)。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi これは、<replaceable>/proc</replaceable> と <replaceable>/sys</replaceable> ファイルシステム以外はホストのマウント名前空間と同じである、新しいマウント名前空間がプロセスに与えられるということです。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi <para>

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi <!--

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi 以前のバージョンの <command>lxc-attach</command> は、いくつかの重要なサブシステムに対して、書き込み可能な cgroup 内に配置することなしに、ユーザがコンテナの名前空間にアタッチできたバグがありました。

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi 新しいバージョンの <command>lxc-attach</command> は、このような重要なサブシステムに対して、ユーザが書き込み可能な cgroup 内にいるかどうかをチェックします。

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi したがって、ユーザによっては <command>lxc-attach</command> は不意に失敗するかもしれません (例えば、非特権ユーザが、ログイン時に重要であるサブシステムの書き込み可能な cgroup に配置されていないようなシステムで)。しかし、この振る舞いは正しく、よりセキュアです。

b6acc629c0094fed0e451694e7a07a926847972bKATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <title><!-- Security -->セキュリティ</title>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <!--

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi <option>-e</option> と <option>-s</option> オプションの使用には注意を払うべきです。

dc421f3aac1f0e516c763dd156629a8ed2a7b4caKATOH Yasufumi 不適切に使用した場合、コンテナの隔離を破壊してしまう可能性があります。

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi &seealso;

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <title><!-- Author -->作者</title>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi <para>Daniel Lezcano <email>daniel.lezcano@free.fr</email></para>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi </refsect1>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi</refentry>

57da8c32f85c0255efa61ee32e260068afdaa565KATOH Yasufumi