История изменений
Исправление vel, (текущая версия) :
Дык рута не давать в контейнер и фиг чего он запишет.
Чем плоха запись в /proc/sys/net/ipv4/ip_default_ttl ? IMHO у контейнера своя net_ns.
Трафик идет через хост? Ну так зафильтруй :)
в lxc это решается так
lxc.mount.auto
specify which standard kernel file systems should be
automatically mounted. This may dramatically simplify
the configuration. The file systems are:
• proc:mixed (or proc):
mount /proc as read-write, but
remount /proc/sys and
/proc/sysrq-trigger read-only
for security / container isolation purposes.
Исходная версия vel, :
Дык рута не давать в контейнер и фиг чего он запишет.
Чем плоха запись в /proc/sys/net/ipv4/ip_default_ttl ? IMHO у контейнера своя net_ns.
Трафик идет через хост? Ну так зафильтруй :)
в lxc это решается так
lxc.mount.auto
specify which standard kernel file systems should be
automatically mounted. This may dramatically simplify
the configuration. The file systems are:
• proc:mixed (or proc):
mount /proc as read-write, but
remount /proc/sys and
/proc/sysrq-trigger read-only
for security / container isolation purposes.