doc: Add the Korean description that automount is ignored when cgroup…

… namespaces are supported. Update for commit 4608594 Signed-off-by: Sungbae Yoo <sungbae.yoo@samsung.com>
lxc · Feb 26, 2016 · bcd7520 · bcd7520
1 parent 77fbb4d
commit bcd7520
Show file tree

Hide file tree

Showing 2 changed files with 21 additions and 15 deletions.
diff --git a/doc/ko/lxc-attach.sgml.in b/doc/ko/lxc-attach.sgml.in
@@ -94,25 +94,22 @@ by Sungbae Yoo <sungbae.yoo at samsung.com>
     <para>
       <!--
       Previous versions of <command>lxc-attach</command> simply attached to the
-      specified namespaces of a container and ran a shell or the specified
-      command without allocating a pseudo terminal. This made them vulnerable to
+      specified namespaces of a container and ran a shell or the specified command
+      without first allocating a pseudo terminal. This made them vulnerable to
       input faking via a TIOCSTI <command>ioctl</command> call after switching
       between userspace execution contexts with different privilege levels. Newer
       versions of <command>lxc-attach</command> will try to allocate a pseudo
-      terminal master/slave pair and attach any standard file descriptors which
-      refer to a terminal to the slave side of the pseudo terminal before
-      executing a shell or command. <command>lxc-attach</command> will first try
-      to allocate a pseudo terminal in the container. Should this fail it will try
-      to allocate a pseudo terminal on the host before finally giving up. Note,
-      that if none of the standard file descriptors refer to a terminal
-      <command>lxc-attach</command> will not try to allocate a pseudo terminal.
-      Instead it will simply attach to the containers namespaces and run a shell
-      or the specified command.
+      terminal master/slave pair on the host and attach any standard file
+      descriptors which refer to a terminal to the slave side of the pseudo
+      terminal before executing a shell or command. Note, that if none of the
+      standard file descriptors refer to a terminal <command>lxc-attach</command>
+      will not try to allocate a pseudo terminal. Instead it will simply attach
+      to the containers namespaces and run a shell or the specified command.
       -->
-      이전 버전의 <command>lxc-attach</command>는 단순히 컨테이너의 특정 네임스페이스에 붙어, 쉘을 실행하거나 pseudo 터미널 할당 없이 특정 명령어를 실행하였다.
+      이전 버전의 <command>lxc-attach</command>는 단순히 컨테이너의 특정 네임스페이스에 붙어, 쉘을 실행하거나 첫 번째 pseudo 터미널 할당 없이 특정 명령어를 실행하였다.
       이는 다른 특권 수준을 갖는 사용자 영역 컨텍스트 간의 전환후 TIOCSTI <command>ioctl</command>를 호출하여 입력을 가로챌 수 있는 취약점이 있다.
-      새로운 버전의 <command>lxc-attach</command>는 쉘이나 명령어를 실행하기 전에, pseudo 터미널 마스터/슬레이브 쌍을 할당하고, 터미널을 가리키고 있던 표준 입출력 파일 디스크립터들은 슬레이브 pseudo 터미널로 붙인다. <command>lxc-attach</command>는 처음에 컨테이너 내부에 pseudo 터미널을 할당한다. 만약 이것이 실패하면, 호스트에 할당하고, 이마저 실패하면 할당을 포기한다.
-      터미널을 가리키고 있던 표준 입출력 파일 디스크립터가 아예 없었다면, <command>lxc-attach</command>는 pseudo 터미널 할당을 시도하지 않는다. 단순히 컨테이너 네임스페이스에 붙어 쉘이나 지정한 명령어만 실행할 뿐이다.
+      새로운 버전의 <command>lxc-attach</command>는 쉘이나 명령어를 실행하기 전에, pseudo 터미널 마스터/슬레이브 쌍을 호스트에 할당하고 터미널을 가리키고 있던 표준 입출력 파일 디스크립터들은 슬레이브 pseudo 터미널로 붙인다.
+      터미널을 가리키고 있던 표준 입출력 파일 디스크립터가 아예 없었다면, <command>lxc-attach</command>는 pseudo 터미널 할당을 시도하지 않음에 주의해야 한다. 단순히 컨테이너 네임스페이스에 붙어 쉘이나 지정한 명령어만 실행할 뿐이다.
     </para>
 
   </refsect1>

diff --git a/doc/ko/lxc.container.conf.sgml.in b/doc/ko/lxc.container.conf.sgml.in
@@ -1233,7 +1233,7 @@ proc proc proc nodev,noexec,nosuid 0 0
 	          the container's own cgroup into that directory.
 	          The container will be able to write to its own
 	          cgroup directory, but not the parents, since they
-	          will be remounted read-only
+	          will be remounted read-only.
 	        </para>
                 -->
                 <para>
@@ -1360,6 +1360,15 @@ proc proc proc nodev,noexec,nosuid 0 0
 	        </para>
 	      </listitem>
 	    </itemizedlist>
+            <para>
+              <!--
+              If cgroup namespaces are enabled, then any <option>cgroup</option>
+              auto-mounting request will be ignored, since the container can
+              mount the filesystems itself, and automounting can confuse the
+              container init.
+              -->
+              cgroup 네임스페이스가 사용 가능한 경우, <option>cgroup</option> 마운트 옵션들은 전부 무시될 것이다. 컨테이너가 직접 파일시스템을 마운트하기 때문이며, 컨테이너 초기화시 해당 옵션이 혼란을 줄 수 있기 때문이다.
+            </para>
 	    <para>
               <!--
 	      Note that if automatic mounting of the cgroup filesystem