在新用户命名空间中使用凭据的 exec.Command 出现错误：“不允许操作”

我追踪了源代码cmd.Run()，发现：type SysProcAttr struct { UidMappings []SysProcIDMap // User ID mappings for user namespaces. GidMappings []SysProcIDMap // Group ID mappings for user namespaces. // GidMappingsEnableSetgroups enabling setgroups syscall. // If false, then setgroups syscall will be disabled for the child process. // This parameter is no-op if GidMappings == nil. Otherwise for unprivileged // users this should be set to false for mappings work. GidMappingsEnableSetgroups bool}因此，如果的值为默认GidMappingsEnableSetgroups值false，则无论子进程是否具有 root 权限，justiceInit都没有权限使用syscall。setgroups结果，当我在函数中cmd.SysProcAttr.GidMappingsEnableSetgroups设置如下时，它就起作用了！truemaincmd.Stdin = os.Stdincmd.Stdout = os.Stdoutcmd.Stderr = os.Stderrcmd.SysProcAttr = &syscall.SysProcAttr{ // ... GidMappingsEnableSetgroups: true,}

在新用户命名空间中使用凭据的 exec.Command 出现错误：“不允许操作”

1回答