.\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH UNSHARE 1 "juillet 2014" util\-linux "Commandes utilisateur" .SH NOM unshare \- Exécuter un programme avec des espaces de noms non partagés par le parent .SH SYNOPSIS \fBunshare\fP [\fIoptions\fP] \fIprogramme\fP [\fIarguments\fP] .SH DESCRIPTION Séparer les espaces de noms indiqués du processus parent puis exécuter le \fIprogramme\fP indiqué. Les espaces de noms à isoler sont indiqués à l’aide d’options. Les espaces de noms séparables sont les suivants. .TP \fBespace de noms de montage\fP Les montage et démontage de systèmes de fichiers n'affecteront pas le reste du système (attribut \fBCLONE_NEWNS\fP), sauf pour les systèmes de fichiers explicitement marqués comme partagés (avec \fBmount \-\-make\-shared\fP, consultez \fI/proc/self/mountinfo\fP pour l’attribut \fBshared\fP). .sp Utiliser \fBmount \-\-make\-rprivate\fP ou \fBmount \-\-make\-rslave\fP après \fBunshare \-\-mount\fP est recommandé pour s’assurer que ces points de montage dans le nouvel espace sont vraiment non partagés avec l’espace de noms parent. .TP \fBespace de noms UTS\fP La configuration de nom d'hôte ou de nom de domaine n'affectera pas le reste du système (attribut \fBCLONE_NEWUTS\fP). .TP \fBespace de noms IPC\fP Le processus aura un nom d'espace indépendant pour les files de messagesSystem\ V, les ensembles de sémaphores et les segments de mémoire partagée (attribut \fBCLONE_NEWIPC\fP). .TP \fBespace de noms réseau\fP Le processus aura des piles IPv4 et IPv6, des tables de routage IP, des règles de pare\-feu, des arborescences des répertoires \fI/proc/net\fP et \fI/sys/class/net\fP, des sockets,\ etc., indépendantes (attribut \fBCLONE_NEWNET\fP). .TP \fBespace de noms PID\fP Les fils auront un ensemble propre de PID pour une mise en correspondance avec leur parent (attribut \fBCLONE_NEWPID\fP). .TP \fBespace de noms utilisateur\fP Le processus aura un ensemble propre d’UID, de GID et de capacités (attribut \fBCLONE_NEWUSER\fP). .PP Consultez \fBclone\fP(2) pour les sémantiques exactes des attributs. .SH OPTIONS .TP \fB\-i\fP, \fB\-\-ipc\fP Isoler l'espace de noms IPC. .TP \fB\-m\fP, \fB\-\-mount\fP Isoler l'espace de noms de montage. .TP \fB\-n\fP, \fB\-\-net\fP Isoler l'espace de noms réseau. .TP \fB\-p\fP, \fB\-\-pid\fP Isoler l'espace de noms PID. Consultez également les options \fB\-\-fork\fP et \fB\-\-mount\-proc\fP. .TP \fB\-u\fP, \fB\-\-uts\fP Isoler l'espace de noms UTS. .TP \fB\-U\fP, \fB\-\-user\fP Isoler l'espace de noms utilisateur. .TP \fB\-f\fP, \fB\-\-fork\fP Engendrer le \fIprogramme\fP indiqué comme un processus fils d’\fBunshare\fP plutôt que de l’exécuter directement. C’est utile lors de la création d’un nouvel espace de noms PID. .TP \fB\-\-mount\-proc\fP[\fB=\fP\fIpoint_de_montage\fP] Juste avant d’exécuter le programme, monter le système de fichiers proc en \fIpoint_de_montage\fP (\fI/proc\fP par défaut). C’est utile lors de la création d’un nouvel espace de noms PID. Cela implique aussi la création d’un nouvel espace de noms de montage sinon le montage de \fI/proc\fP perturberait les programmes existants sur le système. Le nouveau système de fichiers proc est explicitement monté comme privé (par MS_PRIVATE|MS_REC). .TP \fB\-r\fP, \fB\-\-map\-root\-user\fP Exécuter le programme seulement après que les identifiants d’utilisateur et de groupe effectifs aient été mis en correspondance avec les UID et GID du superutilisateur dans le nouvel espace de noms utilisateur. Cela permet d’obtenir facilement les capacités nécessaires pour gérer divers aspects des nouveaux espaces de noms (comme la configuration d’interfaces dans l’espace de noms réseau ou le montage des systèmes de fichiers dans l’espace de noms de montage) même lors d’une exécution ordinaire. En tant que fonctionnalité surtout pratique, elle ne permet pas des cas d’utilisation plus sophistiquée comme la mise en correspondance de plusieurs intervalles d’UID et GID. Cette option implique \fB\-\-setgroups=deny\fP. .TP \fB\-s\fP, \fB\-\-setgroups\fP \fBallow\fP|\fBdeny\fP Permettre ou interdire l’appel système \fBsetgroups\fP(2) dans les espaces de noms utilisateur. \fBsetgroups\fP(2) n’est appelable qu’avec CAP_SETGID, et CAP_SETGID dans un espace de noms utilisateur (depuis Linux\ 3.19) ne permet pas d’appeler \fBsetgroups\fP(2) avant d’avoir défini la carte de correspondance de GID. La carte de GID est accessible en écriture au superutilisateur quand \fBsetgroups\fP(2) est autorisé, et la carte de GID devient accessible en écriture aux processus normaux quand \fBsetgroups\fP(2) est interdit de façon permanente. .TP \fB\-V\fP,\fB \-\-version\fP Afficher les informations sur la version et quitter. .TP \fB\-h\fP,\fB \-\-help\fP Afficher un texte d'aide puis quitter. .SH EXEMPLES .TP \fB# unshare \-\-fork \-\-pid \-\-mount\-proc readlink /proc/self\fP .TQ 1 .br Établir un espace de noms PID, s’assurer d’être le PID\ 1 dedans contre l’instance procfs nouvellement montée. .TP \fB$ unshare \-\-map\-root\-user \-\-user sh \-c whoami\fP .TQ root .br Établir un espace de noms utilisateur en tant qu’utilisateur ordinaire avec un superutilisateur dedans. .SH "VOIR AUSSI" \fBclone\fP(2), \fBunshare\fP(2), \fBmount\fP(8) .SH BOGUES Aucun connu pour le moment. .SH AUTEUR Mikhail Gusarov <\fIdottedmag@dottedmag.net\fP> .SH DISPONIBILITÉ La commande \fBunshare\fP fait partie du paquet util\-linux, elle est disponible sur <\fIftp://ftp.kernel.org/pub/linux/utils/util\-linux/\fP>.