История изменений
Исправление i586, (текущая версия) :
IMHO у контейнера своя net_ns
Да, стркутура netns_ipv4 в каждом netns своя. Раз ему удается из контейнера читать/писать в хостовую netns_ipv4, то у него в контейнере хостовый неймспейс.
Это, конечно, можно запретить seccomp(==eBPF) в docker, mask/umask в последних подманах, но это все странно и не очень работает, т.к. есть куча других способов читать/писать netns_ipv4.
Исходная версия i586, :
IMHO у контейнера своя net_ns
Да, стркутура netns_ipv4 в каждом netns своя. Раз ему удается из контейнера читать/писать в хостовую netns_ipv4, то у него в контейнере хостовый неймспейс.
Это, конечно, можно запретить seccomp(==eBPF) в docker, mask/umask в последних подманах, но это все странно.