Современные операционные системы на базе Linux предоставляют богатый инструментарий для изоляции процессов с целью повышения безопасности и управляемости. Одним из ключевых механизмов в этом арсенале являются пространства имён (namespaces), которые позволяют изолировать различные аспекты среды выполнения, такие как файловая система, сетевая подсистема, идентификаторы пользователей и процессов. Однако в некоторых случаях полной изоляции оказывается избыточной — тогда в ход идёт частичное разобщение пространств имён. Этот подход известен как namespace unsharing, или запуск процессов с минимальной изоляцией. читать далее »