← retour aux snippets

unshare: sandbox réseau et montages à la volée

Créer un namespace isolé pour tester sans containers (réseau/mount/user).

bash security #unshare#namespace#sandbox

objectif

Isoler rapidement un environnement (réseau, FS) pour expérimenter sans impacter l’hôte.

code minimal

sudo unshare -r -n -m --propagation slave bash -lc 'ip a; mount -t tmpfs tmpfs /mnt; echo ok > /mnt/x; ls /mnt'

utilisation

# réseau isolé + veth vers l'hôte
sudo unshare -r -n bash -lc 'ip link set lo up; ip addr add 192.0.2.2/24 dev eth0 2>/dev/null || true'

variante(s) utile(s)

# user namespace sans sudo (selon sysctl /proc/sys/kernel/unprivileged_userns_clone)
unshare -Ur bash -lc 'whoami; id'

notes

  • -r mappe root à l’intérieur; prudence, certaines opérations restent restreintes.
  • combinez avec mount --make-rslave pour éviter la propagation.