Provided by: manpages-ru-dev_4.21.0-2_all bug

ИМЯ

       unshare - отделяет части процесса контекста выполнения

LIBRARY

       Standard C library (libc, -lc)

СИНТАКСИС

       #define _GNU_SOURCE
       #include <sched.h>

       int unshare(int flags);

ОПИСАНИЕ

       Вызов   unshare()   позволяет  процессу  (или  потоку)  отделить  части  своего  контекста
       выполнения, которые используются совместно с  другими  процессами  (или  потоками).  Часть
       контекста  выполнения,  например пространство имён монтирования, неявно делается общей при
       создании нового процесса с помощью fork(2) или vfork(2), в  то  время  как  другие  части,
       такие  как  виртуальная память, могут стать общими по явному запросу при создании процесса
       или потока с помощью clone(2).

       Основное предназначение unshare() — позволить процессу контролировать свой общий  контекст
       выполнения без создания нового процесса.

       Значение  аргумента  flags  представляет  собой битовую маску, в которой указывается какие
       части  контекста  выполнения  должны  перестать  быть  общими.  Значение  составляется  из
       нескольких следующих констант (через OR):

       CLONE_FILES
              Обратный   эффект   флагу  CLONE_FILES  для  clone(2).  Отделяет  таблицу  файловых
              дескрипторов таким образом, что вызывающий процесс больше не имеет  общих  файловых
              дескрипторов с другими процессами.

       CLONE_FS
              Обратный  эффект  флагу  CLONE_FS  для clone(2). Отделяет атрибуты файловой системы
              таким образом, что вызывающий процесс больше не  имеет  общих  атрибутов  корневого
              каталога  (chroot(2)),  текущего  каталога  (chdir(2)) и umask (umask(2)) с другими
              процессами.

       CLONE_NEWCGROUP (начиная с Linux 4.6)
              Этот флаг имеет действие подобное  флагу  CLONE_NEWCGROUP  для  clone(2).  Отделяет
              пространство  имён  cgroup.  Для  использования  CLONE_NEWCGROUP  требуется  мандат
              CAP_SYS_ADMIN.

       CLONE_NEWIPC (начиная с Linux 2.6.19)
              Этот флаг  имеет  действие  подобное  флагу  CLONE_NEWIPC  для  clone(2).  Отделяет
              пространство имён IPC таким образом, что вызывающий процесс будет иметь свою личную
              копию пространства имён IPC, неиспользуемую  другими  процессами.  Задание  данного
              флага   автоматически   устанавливает   флаг   CLONE_SYSVSEM.   Для   использования
              CLONE_NEWIPC требуется мандат CAP_SYS_ADMIN.

       CLONE_NEWNET (начиная с Linux 2.6.24)
              Этот флаг имеет действие подобное флагу CLONE_NEWNET для clone(2). Отделяет сетевое
              пространство  имён  таким  образом,  что вызывающий процесс будет иметь свою личную
              копию  сетевого  пространства  имён,   неиспользуемую   другими   процессами.   Для
              использования CLONE_NEWNET требуется мандат CAP_SYS_ADMIN.

       CLONE_NEWNS
              Этот  флаг  имеет  действие  подобное  флагу  CLONE_NEWNS  для  clone(2).  Отделяет
              пространство имён монтирования таким образом, что вызывающий  процесс  будет  иметь
              свою  личную  копию  данного  пространства имён, неиспользуемую другими процессами.
              Задание данного флага автоматически устанавливает флаг CLONE_FS. Для  использования
              CLONE_NEWNS  требуется  мандат  CAP_SYS_ADMIN. Дополнительная информация доступна в
              mount_namespaces(7).

       CLONE_NEWPID (начиная с Linux 3.8)
              Данный флаг позволяет то же что и CLONE_NEWPID у clone(2).  Выполняется  отключение
              от  пространства  имён  PID; вызывающий процесс создаёт новое пространство имён PID
              для своих потомков, которые до этого не были объединены с  существующим  процессом.
              Вызывающий  процесс  не  перемещается  в  новое  пространство имён. Первый потомок,
              созданный вызывающим процессом, будет иметь ID процесса 1  и  считаться  init(1)  в
              новом  пространстве  имён.  Также  флаг  CLONE_NEWPID  автоматически  подразумевает
              CLONE_THREAD.  Для  использования  CLONE_NEWPID  требуется  мандат   CAP_SYS_ADMIN.
              Подробней смотрите pid_namespaces(7).

       CLONE_NEWTIME (начиная с Linux 5.6)
              Unshare  the  time  namespace, so that the calling process has a new time namespace
              for its children which is not shared with any  previously  existing  process.   The
              calling process is not moved into the new namespace.  Use of CLONE_NEWTIME requires
              the CAP_SYS_ADMIN capability.  For further information, see time_namespaces(7).

       CLONE_NEWUSER (начиная с Linux 3.8)
              Данный флаг позволяет то же что и CLONE_NEWUSER у clone(2). Выполняется  отключение
              от  пользовательского  пространства  имён;  вызывающий процесс перемещается в новое
              пользовательское пространство имён, которое до этого не был общим для существующего
              процесса.   Как  потомок  процесса,  созданный  clone(2)  с  флагом  CLONE_NEWUSER,
              вызывающий получает полный набор мандатов  в  новом  пользовательском  пространстве
              имён.

              Для  CLONE_NEWUSER  требуется,  чтобы  вызывающий  процесс  не имел нитей; указание
              CLONE_NEWUSER  автоматически  подразумевает  CLONE_THREAD.  Начиная  с  Linux  3.9,
              CLONE_NEWUSER   также   автоматически  подразумевает  CLONE_FS.  Для  CLONE_NEWUSER
              требуется, чтобы ID пользователя и группы вызывающего процесса  отображались  в  ID
              пользователя  и группы в пользовательском пространстве имён вызывающего процесса на
              момент вызова.

              Дополнительную  информацию   о   пространствах   имён   пользователя   смотрите   в
              user_namespaces(7).

       CLONE_NEWUTS (начиная с Linux 2.6.19)
              Этот  флаг  имеет  действие  подобное  флагу  CLONE_NEWUTS  для  clone(2). Отделяет
              пространство имён UTS IPC таким образом, что вызывающий процесс  будет  иметь  свою
              личную   копию  пространства  имён  UTS,  неиспользуемую  другими  процессами.  Для
              использования CLONE_NEWUTS требуется мандат CAP_SYS_ADMIN.

       CLONE_SYSVSEM (начиная с Linux 2.6.26)
              С данным флагом выполняется обратное  действие  clone(2)  с  флагом  CLONE_SYSVSEM.
              Выполняется  отмена  изменения  значений семафоров System V (semadj) таким образом,
              что вызывающий процесс получает новый пустой список  semadj,  который  не  является
              общим ни с одним другим процессом. Если это последний процесс, который ссылается на
              текущий  список  semadj  процесса,  то  изменения  (adjustments)  в   этом   списке
              применяются к соответствующим семафорам как описано в semop(2).

       Также  в  flags  могут  быть  указаны  флаги  CLONE_THREAD, CLONE_SIGHAND и CLONE_VM, если
       вызывающий состоит из одной нити (т. е., он не делит своё адресное пространство  с  другим
       процессом  или  нитью).  Иначе  данные  флаги  не  работают (также  заметим,  что указание
       CLONE_THREAD автоматически  подразумевает  CLONE_VM,  а  указание  CLONE_VM  автоматически
       подразумевает  CLONE_SIGHAND).  Если процесс состоит из нескольких нитей, то использование
       данных флагов приведёт к ошибке.

       Если значение flags равно нулю, то  unshare()  ничего  не  делает,  то  есть  в  контексте
       выполнения вызывающего процесса ничего не изменяется.

ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ

       При  успешном выполнении возвращается 0. При ошибке возвращается -1, а errno присваивается
       значение ошибки.

ОШИБКИ

       EINVAL В значении flags установлен недопустимый бит.

       EINVAL В flags указан CLONE_THREAD, CLONE_SIGHAND или CLONE_VM, а  вызывающий  состоит  из
              нескольких нитей.

       EINVAL Указан  флаг  CLONE_NEWIPC в flags, но ядро собрано без параметров CONFIG_SYSVIPC и
              CONFIG_IPC_NS.

       EINVAL Указан флаг CLONE_NEWNET в flags, но ядро собрано без параметра CONFIG_NET_NS.

       EINVAL Указан флаг CLONE_NEWPID в flags, но ядро собрано без параметра CONFIG_PID_NS.

       EINVAL Указан флаг CLONE_NEWUSER в flags, но ядро собрано без параметра CONFIG_USER_NS.

       EINVAL Указан флаг CLONE_NEWUTS в flags, но ядро собрано без параметра CONFIG_UTS_NS.

       EINVAL Указан флаг CLONE_NEWPID в flags, но процесс был ранее вызван  unshare()  с  флагом
              CLONE_NEWPID.

       ENOMEM Не  удалось выделить достаточно памяти для копирования части контекста вызывающего,
              которая должна быть отделена.

       ENOSPC (начиная с Linux 3.7)
              В флагах указан CLONE_NEWPID, но  вызов  привёл  бы  к  превышению  ограничения  на
              количество вложенных имён PID; смотрите pid_namespaces(7).

       ENOSPC (начиная с Linux 4.9; до этого EUSERS)
              Флаг  CLONE_NEWUSER  указан  в flags, и вызов привёл бы к превышению ограничения на
              количество    вложенных     пользовательских     пространств     имён.     Смотрите
              user_namespaces(7).

              В этом случае в Linux 3.11 по Linux 4.8 возвращалась ошибка EUSERS.

       ENOSPC (начиная с Linux 4.9)
              Одним  из  значений в flags задаётся создание нового пространства пространства имён
              пользователя, но это превысило бы ограничение, определённое в соответствующем файле
              в каталоге /proc/sys/user. Дополнительную информацию смотрите в namespaces(7).

       EPERM  Вызывающий процесс не имеет требуемых привилегий для этой операции.

       EPERM  Флаг   CLONE_NEWUSER  указан  в  flags,  но  эффективный  пользовательский  ID  или
              эффективный ID группы вызывающего не отображён  в  родительское  пространство  имён
              (смотрите user_namespaces(7)).

       EPERM (начиная с Linux 3.9)
              В  flags  был указан флаг CLONE_NEWUSER и вызывающий выполняется в окружении chroot
              (т. е. корневой каталог вызывающего не совпадает с корневым каталогом  пространства
              имён монтирования, в котором он находится).

       EUSERS (Linux 3.11 по Linux 4.8)
              Флаг  CLONE_NEWUSER  указан  в flags, и вызов привёл бы к превышению ограничения на
              количество вложенных пользовательских пространств имён.  Смотрите  описание  ошибки
              ENOSPC, представленное выше.

ВЕРСИИ

       The unshare()  system call was added in Linux 2.6.16.

СТАНДАРТЫ

       Системный вызов unshare() есть только в Linux.

ЗАМЕЧАНИЯ

       Не  все  атрибуты  процесса,  которые  могут  использоваться совместно при создании нового
       процесса с помощью clone(2), могут быть отделены с помощью unshare(). В частности, начиная
       с  ядра  3.8  в  unshare()  не  реализована  поддержка флагов, которые были имели обратное
       действие CLONE_SIGHAND, CLONE_THREAD или CLONE_VM. Эти возможности  могут  быть  добавлены
       позднее, если потребуется.

       Creating  all  kinds  of  namespace,  except  user  namespaces, requires the CAP_SYS_ADMIN
       capability.  However, since creating a user namespace automatically confers a full set  of
       capabilities,  creating  both a user namespace and any other type of namespace in the same
       unshare()  call does not require the CAP_SYS_ADMIN capability in the original namespace.

ПРИМЕРЫ

       Программа, представленная далее,  предоставляет  простую  реализацию  команды  unshare(1),
       которая  отключает  использование  одного  или более пространств имён и выполняет команду,
       переданную в  аргументах  командной  строки.  Вот  пример  использования  этой  программы;
       запускается   оболочка   в   новом  пространстве  имён  монтирования  и  проверяется,  что
       первоначальная  оболочка  и  новая  оболочка  находятся  в   разных   пространствах   имён
       монтирования:

           $ readlink /proc/$$/ns/mnt
           mnt:[4026531840]
           $ sudo ./unshare -m /bin/bash
           # readlink /proc/$$/ns/mnt
           mnt:[4026532325]

       Различающийся  вывод  двух  команд  readlink(1)  показывает,  что две оболочки находятся в
       разных пространствах имён монтирования.

   Исходный код программы

       /* unshare.c

          Простая реализация команды unshare(1): отключение от
          пространств имён и выполнение команды.
       */
       #define _GNU_SOURCE
       #include <err.h>
       #include <sched.h>
       #include <stdio.h>
       #include <stdlib.h>
       #include <unistd.h>

       static void
       usage(char *pname)
       {
           fprintf(stderr, "Usage: %s [options] program [arg...]\n", pname);
           fprintf(stderr, "Options can be:\n");
           fprintf(stderr, "    -C   unshare cgroup namespace\n");
           fprintf(stderr, "    -i   unshare IPC namespace\n");
           fprintf(stderr, "    -m   unshare mount namespace\n");
           fprintf(stderr, "    -n   unshare network namespace\n");
           fprintf(stderr, "    -p   unshare PID namespace\n");
           fprintf(stderr, "    -t   unshare time namespace\n");
           fprintf(stderr, "    -u   unshare UTS namespace\n");
           fprintf(stderr, "    -U   unshare user namespace\n");
           exit(EXIT_FAILURE);
       }

       int
       main(int argc, char *argv[])
       {
           int flags, opt;

           flags = 0;

           while ((opt = getopt(argc, argv, "CimnptuU")) != -1) {
               switch (opt) {
               case 'C': flags |= CLONE_NEWCGROUP;      break;
               case 'i': flags |= CLONE_NEWIPC;        break;
               case 'm': flags |= CLONE_NEWNS;         break;
               case 'n': flags |= CLONE_NEWNET;        break;
               case 'p': flags |= CLONE_NEWPID;        break;
               case 't': flags |= CLONE_NEWTIME;        break;
               case 'u': flags |= CLONE_NEWUTS;        break;
               case 'U': flags |= CLONE_NEWUSER;       break;
               default:  usage(argv[0]);
               }
           }

           if (optind >= argc)
               usage(argv[0]);

           if (unshare(flags) == -1)
               err(EXIT_FAILURE, "unshare");

           execvp(argv[optind], &argv[optind]);
           err(EXIT_FAILURE, "execvp");
       }

СМ. ТАКЖЕ

       unshare(1), clone(2), fork(2), kcmp(2), setns(2), vfork(2), namespaces(7)

       Файл Documentation/userspace-api/unshare.rst из дерева  исходного  кода  ядра  Linux  (или
       Documentation/unshare.txt до Linux 4.12)

ПЕРЕВОД

       Русский    перевод    этой    страницы    руководства    был    сделан   Azamat   Hackimov
       <azamat.hackimov@gmail.com>,   Dmitriy    Ovchinnikov    <dmitriyxt5@gmail.com>,    Dmitry
       Bolkhovskikh  <d20052005@yandex.ru>,  Katrin Kutepova <blackkatelv@gmail.com>, Yuri Kozlov
       <yuray@komyakino.ru> и Иван Павлов <pavia00@gmail.com>

       Этот  перевод  является  бесплатной  документацией;  прочитайте  Стандартную  общественную
       лицензию GNU версии 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ или более позднюю, чтобы
       узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ.

       Если вы обнаружите ошибки в переводе  этой  страницы  руководства,  пожалуйста,  отправьте
       электронное письмо на ⟨man-pages-ru-talks@lists.sourceforge.net⟩.