差分
このページの2つのバージョン間の差分を表示します。
| 両方とも前のリビジョン 前のリビジョン | |||
| linux:kernel:namespace:network_namespaces [2014/02/13 12:59] – [ネットワーク名前空間の設定] tenforward | linux:kernel:namespace:network_namespaces [2014/02/17 04:23] (現在) – [ネットワーク名前空間の使用] tenforward | ||
|---|---|---|---|
| 行 102: | 行 102: | ||
| 原則,名前空間内のネットワークをオフにすることで,管理者は名前空間内のプロセスが名前空間外と接続できないようにすることができる.プロセスがセキュリティホールを通して侵害されていても,botnet への参加やスパム送信のような行為を行うことができない. | 原則,名前空間内のネットワークをオフにすることで,管理者は名前空間内のプロセスが名前空間外と接続できないようにすることができる.プロセスがセキュリティホールを通して侵害されていても,botnet への参加やスパム送信のような行為を行うことができない. | ||
| + | |||
| + | ネットワークトラフィックを扱うようなプロセス (例えば Web Server の Worker プロセスや Web Browser のレンダリングプロセス) でも,制限された名前空間内に置くことが可能である.リモートのエンドポイントとの接続が確立されたら,その接続のファイルディスクリプタは,clone() で作られた新しいネットワーク名前空間内の子プロセスから扱うことが可能である.子プロセスは親のファイルディスクリプタを継承しているので,ファイルディスクリプタにアクセスできる.制限されたネットワーク名前空間内のプロセスに対して Unix ソケット経由で接続済みのファイルディスクリプタを送る親プロセスの可能性が存在する.どちらのケースでも,名前空間内の適切なネットワークデバイスがないことによって,子プロセスや Worker プロセスが,更なるネットワーク接続を行うことを不可能にする. | ||
| + | |||
| + | 名前空間は,単一のホスト上での複雑なネットワーク設定のテストに使うことも可能である.慎重に扱うべきサービスを,より隔離したファイアウォールで制限された名前空間で実行するということもできる.明らかに,コンテナの実装もネットワーク名前空間を,それぞれのコンテナに自身のネットワークを与え,コンテナ外のプロセスに制約されないようにするために使用している.などなど... | ||
| + | |||
| + | 一般に名前空間はシステムリソースをパーティショニングし,プロセスのグループを他のグループのリソースから隔離するために提供されている.ネットワーク名前空間はそれと同等以上のものである.しかし,ネットワークはセキュリティの不備において影響を与えやすい領域であるので,様々なネットワークの隔離の提供は特に役に立つ.もちろん,複数のタイプの名前空間を同時に使うことはセキュリティや他の要求に対するより一層の隔離を提供できる. | ||
| + | |||