视觉欺骗小把戏（namespace）

文章预览

上一讲  目录中的怪胎（mount） 我们通过挂载把 /proc 目录搞好了，但有个问题就是 /proc 目录没有做到隔离。你的两个用户分别查看这个目录里的内容，比如 ps 命令，是可以看到另一个用户创建的进程信息的。 这就好比我们隔离普通文件系统的时候，一个用户写入的文件被另一个用户看到了，这肯定是不行的。 怎么解决这个问题呢？也就是说如何让一个进程在执行 ps 命令的时候，只看到一定范围的进程信息呢？ 有了之前课程的学习，你一定也猜到了，解决这个问题光靠我们想办法肯定是不行的，必须得内核提供相关的技术支持才可以。 猜一猜内核会怎么支持呢？ ………………………………