.\" -*- coding: UTF-8 -*- .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH UNSHARE 1 "Février 2016" util\-linux "Commandes de l'utilisateur" .SH NOM unshare \- Exécuter un programme avec des espaces de noms isolés du parent .SH SYNOPSIS \fBunshare\fP [\fIoptions\fP] [\fIprogramme\fP [\fIarguments\fP]] .SH DESCRIPTION Isoler les espaces de noms indiqués du processus parent puis exécuter le \fIprogramme\fP indiqué. Si \fIprogramme\fP n’est pas fourni, alors \fI${SHELL}\fP est exécuté (par défaut\ : \fI/bin/sh\fP). .PP Les espaces de noms peuvent facultativement être rendus persistants par un montage lié des fichiers \fI/proc/pid/ns/type\fP à un chemin de système de fichiers et entrés avec \fB\%nsenter\fP(1) même après que le \fIprogramme\fP est terminé (excepté les espaces de noms PID où l’exécution permanente de processus init est nécessaire). Une fois qu’un \%espace de noms n’est plus nécessaire, il peut être rendu temporaire avec \fBumount\fP(8). Consulter la section \fBEXEMPLES\fP pour plus de détails. .PP Les espaces de noms à séparer sont indiqués à l’aide d’options. Les espaces de noms non isolables sont\ : .TP \fBespace de noms de montage\fP Le montage et démontage de systèmes de fichiers n'affectera pas le reste du système, sauf pour les systèmes de fichiers explicitement marqués comme partagés (avec \fBmount \-\-make\-shared\fP, consultez \fI/proc/self/mountinfo\fP ou \fBfindmnt \-o+PROPAGATION\fP pour les drapeaux \fBshared\fP). Pour de plus amples détails, consulter \fBmount_namespaces\fP(7) et l’explication du drapeau \fBCLONE_NEWNS\fP dans \fBclone\fP(2). .sp \fBunshare\fP, depuis util\-linux version\ 2.27, règle automatiquement la propagation à \fBprivate\fP dans un nouvel espace de noms montage pour assurer que celui\-ci soit vraiment isolé. Il est possible de désactiver cette caractéristique avec l’option \fB\-\-propagation unchanged\fP. Remarquez que \fBprivate\fP est le comportement par défaut du noyau. .TP \fBespace de noms UTS\fP La configuration du nom d'hôte ou du nom de domaine n'affectera pas le reste du système. Pour de plus amples détails, consulter \fBnamespaces\fP(7) et l’explication du drapeau \fBCLONE_NEWUTS\fP dans \fBclone\fP(2). .TP \fBespace de noms IPC\fP Le processus aura un nom d'espace indépendant pour les files de messages POSIX ainsi que pour les files de \%messages de System\ V, les ensembles de sémaphores et les segments de mémoire partagée. Pour de plus amples détails, consulter \fBnamespaces\fP(7) et l’explication du drapeau \fBCLONE_NEWIPC\fP dans \fBclone\fP(2). .TP \fBespace de noms réseau\fP Le processus aura des piles IPv4 et IPv6, des tables de routage IP, des règles de pare\-feu, des arborescences de répertoires \fI/proc/net\fP et \fI/sys/class/net\fP, des sockets,\ etc., indépendantes. Pour de plus amples détails, consulter \fBnamespaces\fP(7) et l’explication du drapeau \fBCLONE_NEWNET\fP dans \fBclone\fP(2). .TP \fBespace de noms PID\fP Les enfants auront un ensemble distinct de mises en correspondance de PID à traiter de celui de leur parent. Pour de plus amples détails, consulter \fBpid_namespaces\fP(7) et l’explication du drapeau \fBCLONE_NEWPID\fP dans \fBclone\fP(2). .TP \fBespace de noms de groupe de contrôle\fP Le processus aura une vue virtualisée de \fI/proc\:/self\:/cgroup\fP, et les nouveaux montages de groupe de contrôle auront pour racine celle du groupe de contrôle d’espace de noms. Pour de plus amples détails, consulter \fBcgroup_namespaces\fP(7) et l’explication du drapeau \fBCLONE_NEWCGROUP\fP dans \fBclone\fP(2). .TP \fBespace de noms utilisateur\fP Le processus aura un ensemble propre d’UID, de GID et de capacités. Pour de plus amples détails, consulter \fBuser_namespaces\fP(7) et l’explication du drapeau \fBCLONE_NEWUSER\fP dans \fBclone\fP(2). .SH OPTIONS .TP \fB\-i\fP,\fB \-\-ipc\fP[\fB=\fP\fIfichier\fP] Isoler l’espace de noms IPC. Si \fIfichier\fP est indiqué, alors un espace de noms persistant est créé par un montage lié. .TP \fB\-m\fP,\fB \-\-mount\fP[\fB=\fP\fIfichier\fP] Isoler l’espace de noms de montage. Si \fIfichier\fP est indiqué, alors un espace de noms persistant est créé par un montage lié. Remarquez que \fIfichier\fP doit être situé sur le système de fichiers avec le drapeau de propagation réglé à \fBprivate\fP. Utilisez la commande \fBfindmnt \-o+PROPAGATION\fP si vous n’êtes pas sûr du réglage en cours. Consulter les exemples ci\-dessous. .TP \fB\-n\fP,\fB \-\-net\fP[\fB=\fP\fIfichier\fP] Isoler l’espace de noms réseau. Si \fIfichier\fP est indiqué, alors un espace de noms persistant est créé par un montage lié. .TP \fB\-p\fP,\fB \-\-pid\fP[\fB=\fP\fIfichier\fP] Isoler l'espace de noms PID. Si \fIfichier\fP est indiqué, alors un espace de noms persistant est créé par un montage lié. Consultez également les options \fB\-\-fork\fP et \fB\-\-mount\-proc\fP. .TP \fB\-u\fP,\fB \-\-uts\fP[\fB=\fP\fIfichier\fP] Isoler l’espace de noms UTS. Si \fIfichier\fP est indiqué, alors un espace de noms persistant est créé par un montage lié. .TP \fB\-U\fP,\fB \-\-user\fP[\fB=\fP\fIfichier\fP] Isoler l’espace de noms utilisateur. Si \fIfichier\fP est indiqué, alors un espace de noms persistant est créé par un montage lié. .TP \fB\-m\fP,\fB \-\-cgroup\fP[\fB=\fP\fIfichier\fP] Isoler l’espace de noms groupe de contrôle. Si \fIfichier\fP est indiqué, alors un espace de noms persistant est créé par un montage lié. .TP \fB\-f\fP,\fB \-\-fork\fP Engendrer le \fIprogramme\fP indiqué comme un processus enfant d’\fBunshare\fP au lieu de l’exécuter directement. C’est utile lors de la création d’un nouvel espace de noms PID. .TP \fB\-\-kill\-child\fP[\fB=\fP\fInom_de_signal\fP] À la fin de \fBunshare\fP, envoyer un \fInom_signal\fP au processus enfant forké. Combiné avec \fB\-\-pid\fP, cela permet une extinction aisée et fiable de l’arbre entier de processus sous \fBunshare\fP. S’il n’est pas donné, \fInom_signal\fP est par défaut \fBSIGKILL\fP. Cela suppose \fB\-\-fork\fP. .TP \fB\-\-mount\-proc\fP[\fB=\fP\fIpoint_de_montage\fP] Juste avant d’exécuter le programme, monter le système de fichiers proc sur \fIpoint_de_montage\fP (\fI/proc\fP par défaut). C’est utile lors de la création d’un nouvel espace de noms PID. Cela implique aussi la création d’un nouvel espace de noms montage, sinon le montage de \fI/proc\fP perturberait les programmes existants sur le système. Le nouveau système de fichiers proc est explicitement monté comme privé (par MS_PRIVATE|MS_REC). .TP \fB\-r\fP,\fB \-\-map\-root\-user\fP Exécuter le programme seulement après que les identifiants d’utilisateur et de groupe effectifs ont été mis en correspondance avec les UID et GID du superutilisateur dans le nouvel espace de noms utilisateur. Cela permet d’obtenir facilement les capacités nécessaires pour gérer divers aspects des nouveaux espaces de noms (comme la configuration d’interfaces dans l’espace de noms réseau ou le montage des systèmes de fichiers dans l’espace de noms de montage) même lors d’une exécution ordinaire. En tant que fonctionnalité surtout pratique, elle ne permet pas des cas d’utilisation plus sophistiquée comme la mise en correspondance de plusieurs intervalles d’UID et GID. Cette option implique \fB\-\-setgroups=deny\fP. .TP \fB\-\-propagation private\fP|\fBshared\fP|\fBslave\fP|\fBunchanged\fP De manière récursive, régler le drapeau de propagation de montage dans le nouvel espace de noms montage. Le comportement par défaut est de régler la propagation à \fIprivate\fP. Il est possible de désactiver cette caractéristique avec l’argument \fBunchanged\fP. Cette option est ignorée silencieusement quand l’espace de noms montage (\fB\-\-mount\fP) n’est pas nécessaire. .TP \fB\-\-setgroups allow\fP|\fBdeny\fP Permettre ou interdire l’appel système \fBsetgroups\fP(2) dans les espaces de noms utilisateur. .sp Pour pouvoir appeler \fBsetgroups\fP(2), le processus appelant doit au moins avoir CAP_SETGID. Mais depuis Linux\ 3.19, une restriction supplémentaire est appliquée\ : le noyau accorde la permission à l’appel \fB\%setgroups\fP(2) seulement après que le mappage de GID (\fB/proc/\fP\fIpid\fP\fB/gid_map\fP) a été réglé. La carte de correspondances de GID peut être écrite par le superutilisateur quand \fB\%setgroups\fP(2) est activé (c'est\-à\-dire, \fBallow\fP, le comportement par défaut), et la carte de GID peut être écrite par des processus normaux quand \fB\%setgroups\fP(2) est désactivé de façon permanente (avec \fBdeny\fP). .TP \fB\-V\fP, \fB\-\-version\fP Afficher le nom et la version du logiciel et quitter. .TP \fB\-h\fP, \fB\-\-help\fP Afficher l’aide\-mémoire puis quitter. .SH NOTES Les systèmes de fichiers proc et sysfs montés comme racine dans un espace de noms utilisateur doivent être restreints de façon qu’un utilisateur moins privilégié ne puisse avoir davantage d’accès aux fichiers sensibles qu’un utilisateur plus privilégié aurait rendus indisponibles. En bref, la règle pour proc et sysfs est aussi près que possible d’un montage lié. .SH EXEMPLES .TP # unshare \-\-fork \-\-pid \-\-mount\-proc readlink /proc/self .TQ 1 .br Établir un espace de noms PID, s’assurer d’être le PID\ 1 dedans par rapport à une instance procfs nouvellement montée. .TP $ unshare \-\-map\-root\-user \-\-user sh \-c whoami .TQ superutilisateur .br Établir un espace de noms utilisateur en tant qu’utilisateur ordinaire avec un superutilisateur dedans. .TP # touch /root/uts\-ns .TQ # unshare \-\-uts=/root/uts\-ns nom_hôte TOTO .TQ # nsenter \-\-uts=/root/uts\-ns nom_hôte .TQ TOTO .TQ # umount /root/uts\-ns .br Établir un espace de noms persistant UTS et modifier le nom d’hôte. L’espace de noms est entré avec \fBnsenter\fP. L’espace de noms est détruit en démontant la référence liée. .TP # mount \-\-bind /root/espace_de noms /root/espace_de_noms .TQ # mount \-\-make\-private /root/espace_de_noms .TQ # touch /root/espace_de_noms/montage .TQ # unshare \-\-mount=/root/espace_de_noms/montage .br Établir un espace de noms montage permanent référencé par le montage lié /root/espace_de_noms/montage. Cet exemple montre une solution portable, car il assure que le montage lié est créé sur un système de fichiers partagé. .TP # unshare \-pf \-\-kill\-child \-\- bash \-c (sleep 999 &) && sleep 1000 & .TQ # pid=$! .TQ # kill $pid .br Destruction fiable de sous\-processus du \fIprogramme\fP. Quand \fBunshare\fP est détruit, toute chose sous lui est aussi détruite. Sans cela, l’enfant du \fIprogramme\fP serait devenu orphelin et rattaché au PID\ 1. .SH "VOIR AUSSI" \fBclone\fP(2), \fBunshare\fP(2), \fBnamespaces\fP(7), \fBmount\fP(8) .SH AUTEURS .UR dottedmag@dottedmag.net Mikhail Gusarov .UE .br .UR kzak@redhat.com Karel Zak .UE .SH DISPONIBILITÉ La commande \fBunshare\fP fait partie du paquet util\-linux, elle est disponible sur <\fIhttps://www.kernel.org/pub/linux/utils/util\-linux/\fP>. .SH TRADUCTION La traduction française de cette page de manuel a été créée par Christophe Blaess , Michel Quercia , Thierry Vignaud , Frédéric Delanoy , Thierry Vignaud , Christophe Sauthier , Sébastien Blanchet, Jérôme Perzyna , Aymeric Nys , Alain Portal , Thomas Huriaux , Yves Rütschlé , Jean-Luc Coulon (f5ibh) , Julien Cristau , Philippe Piette , Jean-Baka Domelevo-Entfellner , Nicolas Haller , Sylvain Archenault , Valéry Perrin , Jade Alglave , Nicolas François , Alexandre Kuoch , Lyes Zemmouche , Florentin Duneau , Alexandre Normand et David Prévot . Cette traduction est une documentation libre ; veuillez vous reporter à la .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License version 3 .UE concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE. Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à .MT debian-l10n-french@lists.debian.org .ME .