vs1
-
Now again let 's help vs1 cheat .
现在,我们再次帮助vs1进行伪装。
-
One more thing will let vs1 write to the tmpfs filesystem it is going to mount
再做一件事情就可以让vs1在其即将装载的tmpfs文件系统上执行写操作
-
From the vs1 container you are able to write into the entry corresponding to the other terminal .
可以从vs1容器写入到与另一个终端对应的条目。
-
In the first , start up vs1 and look under / dev / pts .
在第一个终端中,启动vs1并查看/dev/pts。
-
A container designated vs1 cannot read files owned by another container vs2 or kill its tasks .
容器vs1不能读取另一个容器vs2的文件或中断它的任务。
-
Since vs1 cannot access vs2 data and vice versa , containers are protected from each other .
由于vs1不能访问vs2数据(反之亦然),因此容器之间是彼此独立的。
-
Label all files in vs1 's filesystem with the label vs1
使用标签vs1标记vs1文件系统中的所有文件
-
Now you 'll need to start the container using / vs1 / vs1.sh instead of using lxc-start by hand .
现在需要使用/vs1/vs1.sh启动容器,而不是使用lxc-start手工启动。
-
We define vs1 and vs2 to label containers .
我们对vs1和vs2进行定义以标记容器。
-
Then create containers / vs1 and / vs2 using lxc-debian and relabel their filesystems using
然后使用lxc-debian创建/vs1and/vs2容器,并且使用
-
Otherwise , vs1 init scripts won 't be able to create the / dev / shm / network directory it uses while setting up the network .
否则,vs1init脚本将不能在设置网络时创建需要使用的/dev/shm/network目录。
-
When you start your containers ( for instance by using lxc-start-n vs1 ), you 'll likely get a few audit messages about SELinux access denials .
在启动容器时(例如通过使用命令lxc-start-nvs1),很可能会收到一些关于SELinux访问拒绝的审计消息。
-
This will cause the tmpfs filesystem mounted at / dev / shm to carry the vs1 label so that vs1 can write to it .
这导致在/dev/shm上装载tmpfs文件系统,以带上vs1标签,从而让vs1可以对它执行写操作。
-
What this means is that it will set it 's process label to vs1 and wrap the container 's / sbin / init through dropmacadmin ( like so )
这意味着它能将自己的进程标签设置为vs1,并通过dropmacadmin打包容器的/sbin/init。
-
If you help container vs1 cheat using mount & bind / / vs1 / rootfs.vs1/mnt before starting the container , you 'll find that even though you are the root user , ls / mnt / root will be refused .
如果在启动容器之前使用mount&bind//vs1/rootfs.vs1/mnt帮助容器vs1进行伪装,那么您将会发现,即使是根用户,也会重用ls/mnt/root。
-
In the interface , $ 1 is expanded to the argument , so $ 1_t becomes vs1_t when we call container ( vs1 ) . ( From here on let 's assume we are defining vs1 ) .
在这个接口中,$1被扩展到这个参数,因此当我们调用container(vs1)时,$1t就会变成vs1t(从这里开始,假设我们定义的是vs1)。