Mount Namespace 与父进程隔离失效

最新推荐文章于 2024-04-28 18:16:24 发布
最新推荐文章于 2024-04-28 18:16:24 发布
阅读量601 收藏
点赞数
分类专栏: Linux 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch717828/article/details/105042329
版权
在Linux中,尝试通过clone和mount实现子进程的namespace独立,期望挂载的/tmp仅在子进程中可见,却发现父子进程都能看到。原因在于根目录挂载点类型为MS_SHARED,经修改为MS_PRIVATE后,成功实现隔离。
摘要由CSDN通过智能技术生成

问题

在Linux系统中,使用clone方法创建一个子进程,通过参数指定子进程的namespace独立于父进程:
1: clone() 传入参数CLONE_NEWNS
2: 使用mount()方法在子进程中挂载文件系统 /tmp

期望看到的是/tmp这个新挂载点只在子进程中可见,父进程不可见。但实际情况却发现 /tmp这个新挂载点,在父进程和子进程中均可见。
代码如下:

#define _GNU_SOURCE
#include <sys/types.h>
#include <sys/wait.h>
#include <stdio.h>
#include <sched.h>
#include <signal.h>
#include <unistd.h>

/* 定义一个给 clone 用的栈,栈大小1M */
#define STACK_SIZE (1024 * 1024)
static char container_stack[STACK_SIZE];

char* const container_args[] = {
   "/bin/bash",
   NULL
};

int container_main(void* arg)
{
   printf("Container - inside the container!\n");
   sethostname("container_test",20); /* 设置hostname */
   /* 直接执行一个shell,以便我们观察这个进程空间里的资源是否被隔离了 */
   //mount("none", "/", NULL, MS_PRIVATE, NULL);
   mount("none", "/tmp", "tmpfs", 0, ""
最低0.47元/天 解锁文章
藏红
关注
专栏目录
Docker学习总结(12)——非常详细的 Docker 学习笔记
科技D人生
08-03 6516
一、Docker 简介 Docker 两个主要部件: Docker: 开源的容器虚拟化平台Docker Hub: 用于分享、管理 Docker 容器的 Docker SaaS 平台 -- Docker Hub Docker 使用客户端-服务器 (C/S) 架构模式。Docker 客户端会与 Docker 守护进程进行通信。Docker 守护进程会处理复杂繁重的任务,例如建立、运行、发
Linux Namespace系列(04):mount namespaces (CLONE_NEWNS)
weixin_33693070的博客
09-15 333
Mount namespace用来隔离文件系统的挂载点, 使得不同的mount namespace拥有自己独立的挂载点信息,不同的namespace之间不会相互影响,这对于构建用户或者容器自己的文件系统目录非常有用。 当前进程所在mount namespace里的所有挂载信息可以在/proc/[pid]/mounts、/proc/[pid...
mount挂载时 no such device_mount namespace 真正隔离了你的mount信息吗?
weixin_39970994的博客
11-28 448
在写所有内容内容之前,我想先说一句:知乎,垃圾首先给出结论:mount NS的确隔离mount信息,在不同的mount NS中,系统拥有自己独立的VFS目录树及挂载点信息,但是由于shared subtree机制,使用clone系统调用和CLONE_NEWNS参数,可能会得到和你预期不同的结果在很多docker的入门书籍中,都会讲到namespace的内容,在介绍mount ns时,往往会通过在新...
Linux内核Namespace隔离测试code
InternalsOf
06-12 576
linux的namespace机制有点类似于数据库中的schema,可以为不同的进程提供各自的命名空间,命名空间互相隔离进程跑在自己的namespace中资源互相隔离
[转载] namespace技术
weixin_30609331的博客
03-13 797
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation namespace技术和cgroup技术是现阶段实现轻量级虚拟化的基石, 本文详细解释了namespace技术的基本原理, 对于理解namespace技术非常有帮助 Docker背后的内核知识——Na...
Linux中的namespace资源隔离【待不停补充】
icyyyer的博客
10-25 1355
Linux中的namespace资源隔离(仍在学习中,不断补充)   1. Linux中提供的六种namespace隔离 2. Linux中调用以上六种隔离的具体操作: (1)clone() clone(),使用clone可以在创建一个新的进程的同时,来创建新的namespace,使用方法如下: int clone(int (*child_func)(void *), void...
知识总结(16)docker面试常问点(什么是docker、docker优缺点、docker与虚拟机的区别、docker如何实现隔离
zxn_0823的博客
09-07 1317
什么是docker? docker 是管理容器的引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器或Windows 机器上,为应用打包、部署平台、而非单纯虚拟化。内核共享宿主机 docker的优缺点? 1)优点 1. 部署方便 你一定还有印象,在我们最开始学习编程的时候,搭建环境这一步往往会耗费我们好几个小时的时间,而且其中一个小问题可能需要找很久才能够解决。你还会得到关于环境搭建方面的团队其他成员的求助。而有了容器之后,这些都变得非常容易,你.
国产化改造之容器迁移指导
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-28 1145
另外再回顾下底层这些东西,如上图所示,docker镜像层位于内核层之上,其中内核层中的AUFS,LXC,Bootfs(boot file system)一起为上层的镜像提供kernel内核支持;即信息技术应用创新的简称,涵盖了国产软件、国产芯片以及云计算等各个方向,也可以理解为常说的“ZZKK(自主可控)”, ZZKK是指对国内企事业单位应用系统中关键软硬件部件的安全性、可靠性、性能稳定性、安全接入等方面进行评估和测试的过程。基于此,docker镜像层+容器层,我们是可以提交成新镜像导出的;
容器进程Core Dump处理
小米云技术
03-07 1390
本文主要介绍了Core Dump实现容器进程的方法和相关内容。 上篇文章回顾:IPv6入门教程 引子 在我们调试程序时经常会使用到core dump功能,使用调试器(如gdb)分析其产生的Core Dump文件(以下称"core文件"),对于排查问题、定位bug堪称无往不利的利器。当前容器技术使用愈加普遍,线上大量业务使用容器技术部署,那我们的业务进程在容器环境下core文件是如何产生、与在宿...
使用Linux的namespace隔离system的教程
阿仆的专栏
08-15 2734
namespace in linux kernel
linux子进程退出状态值解析:waitpid() status意义解析
热门推荐
阿强的一亩三分地,一分耕耘一分收获
11-26 1万+
http://tsecer.blog.163.com/blog/static/15018172012323975152/ 一、和子进程同步 在linux系统中,进程通常需要通过waitpid来等待/获取子进程状态变化情况,而这个主要就是通过waitXXX函数族来实现的,例如常见的init函数实现的respawn类配置进程(例如getty)、调试器中对子进程状态的获取,shell对
资源隔离之 Linux namespace
omnispace的博客
04-01 5489
Linux namespace 简称 ns,在 2002 年 2.4.19 内核中被引入,发展到今天已经有 15 个年头了。2010 年后国内云计算爆发,紧接着 2013 年 Docker 崛起,ns 才作为不可或缺的一部分被重视起来。ns 本身其实比较简单,它是 Linux 内核的一种机制,给进程隔离和虚拟化内核资源用的。不同的进程是共享内核资源的。好比说大家住在同一个小区,虽然到家后关起门来谁...
Linux进程与线程概述
weixin_30530339的博客
07-16 95
进程与线程 为什么对于大多数合作性任务,多线程比多个独立的进程更优越呢?这是因为,线程共享相同的内存空间。不同的线程可以存取内存中的同一个变量。所以,程序中的所有线程都可以读或写声明过的全局变量。如果曾用fork() 编写过重要代码,就会认识到这个工具的重要性。为什么呢?虽然fork() 允许创建多个进程,但它还会带来以下通信问题:如何让多个进程相互通信,这里每个进程都有各自独立...
docker的使用及原理
chuange6363的博客
09-10 189
引子 如何在内网搭一个私人笔记 一步步搭建Leanote笔记 使用docker 什么是docker 下面是从wikipedia和百度百科摘下来描述docker的文字: wikipedia Docker is an open-source project that automat...
docker控制机制------namespace命名空间
weixin_34221112的博客
05-17 265
Linux中的namespace namespace,命名空间,从名字上看,应该是类似于包含许多名字的空间,打个比方,三年一班的小明和三年二班 的小明,虽说他们名字是一样的,但是所在班级不一样,那么,在全年级排行榜上面,即使出现两个名字一样的小明,也会通过各自的学号来区分。对于学校来说, 每个班级就相当于是一个命名空间,这个空间的名称是班级号。班级号...
Linux Namespace系列(05):pid namespace (CLONE_NEWPID)
weixin_34067980的博客
09-15 244
PID namespaces用来隔离进程的ID空间,使得不同pid namespace里的进程ID可以重复且相互之间不影响。 PID namespace可以嵌套,也就是说有子关系,在当前namespace里面创建的所有新的namespace都是当前namespace的子namespacenamespace里面可以看到所有子孙后代n...
Docker原理之隔离篇 --- namespace隔离简介
Jung_zhang的专栏
06-01 2082
Linux内核提供的一种隔离机制,Docker就是使用内核namespace隔离机制来实现对应的资源隔离
深入理解Docker:Linux内核Namespace实现资源隔离
2. **Mount Namespace (CLONE_NEWNS)**: 隔离文件系统的挂载点,每个容器可以有自己独立的文件系统视图,不受宿主机或其他容器的影响。 3. **Network Namespace (CLONE_NEWNET)**: 隔离网络资源,包括网络接口、IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值