
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Nov 13, 2013 at 3:41 PM, Daniel P. Berrange <span dir="ltr"><<a href="mailto:berrange@redhat.com" target="_blank">berrange@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Nov 13, 2013 at 11:13:15AM +0530, Saurabh Deochake wrote:<br>

> Hi all,<br>

><br>

> I'm trying to restrict privileges of "root" user inside the container. I<br>

> came across this "idmap" element of Libvirt Domain XML file.<br>

><br>

> <idmap><br>

>     <uid start='0' target='1000' count='10'/><br>

>     <gid start='0' target='1000' count='10'/><br>

>   </idmap><br>

><br>

> This says that user with uid 0 in the container is mapped to user with uid<br>

> 1000 on the host.<br>

><br>

> I checked if it works, I created a file with root user inside the container<br>

> and checked uid of the file. Inside the container I get uid of file as 0<br>

> and even on host I get the same uid as 0 instead of 1000.<br>

<br>

</div>NB, libvirt related questions should really be directed to the libvirt users<br>

mailing list. The libvirt code is completely different to the <a href="http://sf.net" target="_blank">sf.net</a> LXC tool<br>

so its not appropriate to ask the latter's developers for help with something<br>

they didn't write :-)<br>

<br>

  <a href="http://libvirt.org/contact.html#email" target="_blank">http://libvirt.org/contact.html#email</a><br>

  <a href="https://www.redhat.com/mailman/listinfo/libvirt-users" target="_blank">https://www.redhat.com/mailman/listinfo/libvirt-users</a></blockquote><div><br>I'm sorry. I did not intend to spam this mailing list with Libvirt related stuff but I was explaining the steps I followed to get user namespace working. :)<br>

</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

<div class="im"><br>

> Later I checked the output of "lxc-checkconfig". Output was:<br>

<br>

<br>

<br>

><br>

> --- Namespaces ---<br>

> Namespaces: enabled<br>

> Utsname namespace: enabled<br>

> Ipc namespace: enabled<br>

> Pid namespace: enabled<br>

</div>> *User namespace: missing*<br>

<div class="im">> Network namespace: enabled<br>

> Multiple /dev/pts instances: enabled<br>

><br>

> Here it shows that User namespace support is missing. I tried to check for<br>

> Namespaces Support in kernel menuconfig. It has support for following<br>

> namespaces only:<br>

><br>

>  --- Namespaces support<br>

>  [*]   UTS namespace<br>

>  [*]   IPC namespace<br>

>  [*]   PID Namespaces<br>

>  [*]   Network namespace<br>

><br>

> There is no User Namespace support.<br>

><br>

> How should I get this user namespace working on my system?<br>

<br>

</div>I don't know where it is in the menu, but you need to have<br>

CONFIG_USER_NS variable set in the resulting kernel config<br>

file<br>

<div class="im"><br>

><br>

> The link says that User Namespace feature has already been implemented<br>

</div>> in *kernel<br>

> 3.9.*<br>

<div class="im">>  Reference Link: <a href="https://lwn.net/Articles/532593/" target="_blank">https://lwn.net/Articles/532593/</a><br>

><br>

> My system details are as follow:<br>

> OS: Fedora 19<br>

</div>> *Kernel: 3.9.5*<br>

<div class="im">><br>

> Please help me out getting user namespace working on my system.<br>

<br>

</div>For a start I think you should update to the curent Fedora 19<br>

kernels which are version 3.11.6. Then I'd suggest taking thue<br>

Fedora kernel src.rpm and just setting the CONFIG_USER_NS var<br>

in its config file, rather than trying navigate the menus.<br>

<br>

We're not supporting user namespaces in Fedora until at least<br>

Fedora 21, since we don't consider the implementation sufficiently<br>

mature / secure to enable it sooner.<br></blockquote><div><br></div><div>Oh, okay. Thanks a lot for your help.<br> <br>Regards,<br>Saurabh Deochake.</div></div></div></div>