Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tech:notes_linux_kernel_namespaces_espace_de_noms [2025/10/10 09:05] – Jean-Baptiste
+++ tech:notes_linux_kernel_namespaces_espace_de_noms [2026/03/19 15:50] (Version actuelle) – Jean-Baptiste
@@ Ligne 19: / Ligne 19: @@
 * https://www.redhat.com/en/blog/building-container-namespaces
 * https://www.redhat.com/en/blog/container-namespaces-nsenter
+Sécurité - échappement :
+* https://book.hacktricks.wiki/en/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/index.html
@@ Ligne 25: / Ligne 29: @@
 Voir :
 * https://commandmasters.com/commands/nsenter-linux/
+* https://thelinuxcode.com/nsenter-linux-command/
+* https://knowledge.broadcom.com/external/article/389166/using-nsenter-for-troubleshooting-kubern.html
 <code bash>
@@ Ligne 53: / Ligne 60: @@
 nsenter
 </code>
+Trouver les processus présents dans des namespaces
+<code bash>
+dirname $(grep -l libpod /proc/*/cgroup) | xargs -L1 basename
+lsns -t pid
+sudo ps --no-headers -e -o pidns,pid,cmd | grep -v ^$(ps --no-headers -p 1 -o pidns)
+</code>
+is-container is-docker
+<code bash>
+grep -Eq "docker|libpod" /proc/$$/cgroup
+grep -Eq "docker|containers" /proc/$$/mountinfo
+</code>
+Voir /usr/bin/is-docker (paquet 'node-is-docker') https://github.com/sindresorhus/is-docker/blob/main/index.js
 paramètre noyau
@@ Ligne 92: / Ligne 118: @@
 ''user:start_uid:uid_count''
+Voir `/proc/sys/user/max_user_namespaces`
 La valeur du count doit logiquement être supérieur ou égale à l'UID max du conteneur (normalement l'utilisateur nobody)