<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Nov 13, 2013 at 3:41 PM, Daniel P. Berrange <span dir="ltr"><<a href="mailto:berrange@redhat.com" target="_blank">berrange@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Nov 13, 2013 at 11:13:15AM +0530, Saurabh Deochake wrote:<br>
> Hi all,<br>
><br>
> I'm trying to restrict privileges of "root" user inside the container. I<br>
> came across this "idmap" element of Libvirt Domain XML file.<br>
><br>
> <idmap><br>
>     <uid start='0' target='1000' count='10'/><br>
>     <gid start='0' target='1000' count='10'/><br>
>   </idmap><br>
><br>
> This says that user with uid 0 in the container is mapped to user with uid<br>
> 1000 on the host.<br>
><br>
> I checked if it works, I created a file with root user inside the container<br>
> and checked uid of the file. Inside the container I get uid of file as 0<br>
> and even on host I get the same uid as 0 instead of 1000.<br>
<br>
</div>NB, libvirt related questions should really be directed to the libvirt users<br>
mailing list. The libvirt code is completely different to the <a href="http://sf.net" target="_blank">sf.net</a> LXC tool<br>
so its not appropriate to ask the latter's developers for help with something<br>
they didn't write :-)<br>
<br>
  <a href="http://libvirt.org/contact.html#email" target="_blank">http://libvirt.org/contact.html#email</a><br>
  <a href="https://www.redhat.com/mailman/listinfo/libvirt-users" target="_blank">https://www.redhat.com/mailman/listinfo/libvirt-users</a></blockquote><div><br>I'm sorry. I did not intend to spam this mailing list with Libvirt related stuff but I was explaining the steps I followed to get user namespace working. :)<br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<div class="im"><br>
> Later I checked the output of "lxc-checkconfig". Output was:<br>
<br>
<br>
<br>
><br>
> --- Namespaces ---<br>
> Namespaces: enabled<br>
> Utsname namespace: enabled<br>
> Ipc namespace: enabled<br>
> Pid namespace: enabled<br>
</div>> *User namespace: missing*<br>
<div class="im">> Network namespace: enabled<br>
> Multiple /dev/pts instances: enabled<br>
><br>
> Here it shows that User namespace support is missing. I tried to check for<br>
> Namespaces Support in kernel menuconfig. It has support for following<br>
> namespaces only:<br>
><br>
>  --- Namespaces support<br>
>  [*]   UTS namespace<br>
>  [*]   IPC namespace<br>
>  [*]   PID Namespaces<br>
>  [*]   Network namespace<br>
><br>
> There is no User Namespace support.<br>
><br>
> How should I get this user namespace working on my system?<br>
<br>
</div>I don't know where it is in the menu, but you need to have<br>
CONFIG_USER_NS variable set in the resulting kernel config<br>
file<br>
<div class="im"><br>
><br>
> The link says that User Namespace feature has already been implemented<br>
</div>> in *kernel<br>
> 3.9.*<br>
<div class="im">>  Reference Link: <a href="https://lwn.net/Articles/532593/" target="_blank">https://lwn.net/Articles/532593/</a><br>
><br>
> My system details are as follow:<br>
> OS: Fedora 19<br>
</div>> *Kernel: 3.9.5*<br>
<div class="im">><br>
> Please help me out getting user namespace working on my system.<br>
<br>
</div>For a start I think you should update to the curent Fedora 19<br>
kernels which are version 3.11.6. Then I'd suggest taking thue<br>
Fedora kernel src.rpm and just setting the CONFIG_USER_NS var<br>
in its config file, rather than trying navigate the menus.<br>
<br>
We're not supporting user namespaces in Fedora until at least<br>
Fedora 21, since we don't consider the implementation sufficiently<br>
mature / secure to enable it sooner.<br></blockquote><div><br></div><div>Oh, okay. Thanks a lot for your help.<br> <br>Regards,<br>Saurabh Deochake.</div></div></div></div>