Внутри контейнера не запускается Chromium Вывод стрейса: access("/usr/lib/chromium-browser/chromium-browser-sandbox", X_OK) = 0 socket(PF_FILE, SOCK_DGRAM, 0) = 12 clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb7faf738) = 23335 recvmsg(10, Failed to move to new PID namespace: Operation not permitted 0xbff35708, 0) = ? ERESTARTSYS (To be restarted) Тест с http://code.google.com/p/chromium/wiki/LinuxSUIDSandbox выводит: # ./a.out clone: Operation not permitted Clone failed. PID namespaces ARE NOT supported Если удалить песочницу /usr/lib/chromium-browser/chromium-browser-sandbox, то браузер запускается, но это небезопасно.
Оно хочет CAP_SYS_ADMIN, который надо разрешить в этом контейнере.
ldv, вы? :-)
Подскажите, пожалуйста, как это сделать.
vzctl set VEID --save --capability sys_admin:on
Вот ещё: Sets capability inside a VE. Note that setting capability when the VE is running does not take immediate effect; restart VE in order for changes to take effect. Т.е. потом надо перезапустить контейнер.
Благодарю :-)
Т.е. помогло?
Пока не могу проверить, завтра станет ясно.
Спасибо огромное, всё работает. Параметр можно установить только при остановленном контейнере. И обязателен смонтированный /dev/shm. shmfs /dev/shm tmpfs rw
