Linux Namespaces in operation记录 - part 5

最新推荐文章于 2022-05-18 01:17:45 发布
最新推荐文章于 2022-05-18 01:17:45 发布
阅读量241 收藏
点赞数 1
分类专栏: C/C++ Linux 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q15037911903/article/details/100054204
版权
Linux 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
C/C++
20 篇文章 0 订阅
订阅专栏
容器
14 篇文章 0 订阅
订阅专栏

文章目录


:本文绝大部分内容来自 Linux Namespaces实践part 5,原文系列文章详细描述了Linux Namespace相关内容,英语过关的建议阅读原文,本文内容主要用来记录学习内容,如有不当之处还请评论区指正。

User Namespace隔离了安全相关的属性,即用户ID、组ID、根目录、keyrings以及capabilities。一个进程的用户ID和组ID在User Namespace内外可以是不同的。特别地,一个进程可以在User Namespace外有非零的用户ID(普通用户),而在User Namespace内部有为零的用户ID(root用户)。

在阐述内容之前,先列举几个作者遇到的问题:

  1. sys/capability.h头文件,cap_t, cap_to_text()

    Ubuntu上需要通过sudo apt-get install libcap-dev安装库
    连接时需加上 -lcap 选项: g++ -o a.sh test.cpp -lcap

  2. userns_child_exec.c遇到write: operation not permitted问题

    系列文章写于2013年,之后Linux 3.19更新了gid_map文件的访问规则,可以参考User Namespace手册,文中与样例Example的代码注释都阐述了相关问题及解决方案

创建User Namespace

通过传递CLONE_NEWUSER标志给clone()unshare()函数可以创建一个User Namespace。Linux 3.8之后,创建User Namespace不在需要root权限。值得一提的是,Win10的wsl目前不支持CLONE_NEWUSER标志,即无法创建User Namespace,在即将到来的wsl2(目前预览版可以尝鲜)将内置完整的Linux内核,可以提供该功能。

一个栗子

本例通过demo_userns.c展示了没有特权的进程在新User Namespace中可以有特权。代码如下:

int childFunc(void *arg) {
    cap_t caps;
    for (;;) {
        printf("eUID = %ld; eGID = %ld; \n", (long)geteuid(), (long)getegid());
        caps = cap_get_proc();
        printf("capabilityies: %s\n", cap_to_text(caps, NULL));
        if (arg == NULL)
            break;
        sleep(5);
    }
    return 0;
}
#define STACK_SIZE (1024 * 1024)
static char child_stack[STACK_SIZE];
int main(int argc, char *argv[]) {
    pid_t pid;
    pid = clone(childFunc, child_stack + STACK_SIZE, CLONE_NEWUSER | SIGCHLD, argv[1]);
    if (pid == -1)
        errExit("clone");
    if (waitpid(pid, NULL, 0) == -1)
        errExit("waitpid");
    return 0;
}

通过传递CLONE_NEWUSER标志给clone()函数创建了新User Namespace,之后子进程childFunc在新创建的User Namespace中打印出自己的用户ID、组ID以及capabilities。有关capability的内容参考Linux 手册 Capability。运行上述程序得到如下结果:

eric@eric_ubuntu_server:~/ns_in_opt/part_5$ id -u
1000
eric@eric_ubuntu_server:~/ns_in_opt/part_5$ id -g
1000
eric@eric_ubuntu_server:~/ns_in_opt/part_5$ ./demo_userns
eUID = 65534; eGID = 65534;
capabilityies: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend,cap_audit_read+ep

上述输出结果展示了一些有趣的信息:

  1. capabilities: = ...表明子进程拥有所有的capability

    创建一个新User Namespace时,该Namespace中的第一个进程被授予完整的权限capability

  2. 进程的用户和组ID在Namespace内外不同

    需要将User Namespace内的用户与组ID映射到Namespace外部,对于没有映射的Namespacegetuid()getgid()会返回/proc/sys/kernel/overflowuid/proc/sys/kernel/overflowgid的内容,即65534

另外,User Namespace还是可以嵌套的,即除了初始的User Namespace,每一个User Namespace都有一个父Namespace,零个或多个字Namespace

映射用户与组ID

:如前所述,Linux 3.19对gid_map做了些更改,对于3.19及以上版本,需要先向/proc/PID/setgroups文件中写入"deny"才能对gid_map文件进行更改。

创建User Namespace之后,映射用户ID与组ID是必不可少的一步,这些映射可以通过向/proc/PID/uid_map/proc/PID/gid_map文件中写入映射信息实现。映射信息的格式如下:

ID-inside-ns ID-outside-ns length

上述信息将Namespace内从ID-inside-nsID-inside-ns + length映射到了ID-outside-ns同样长度。不妨假设ID为/proc/PID/uid_map中PID的进程为A,正在向/proc/PID/uid_map文件写信息的进程为B。ID-outside-ns取决于进程A和进程B是否在同一个User Namespace

  • 若在同一个Namespace,则ID-outside-ns即为其父Namespace中的值
  • 若不在同一个Namespace,则ID-outside-ns的值为进程B所在的Namespace中的us用户或组ID。

又一个栗子

通过给demo_userns程序传递任意一个参数可让其每隔几秒输出进程的用户、组ID以及cap。

  1. demon_userns程序传递任意参数执行,如下为输出(前两个)

    eric@eric_ubuntu_server:~/ns_in_opt/part_5$ ./demo_userns x
eUID = 65534; eGID = 65534;
capabilityies: = cap_chown,...
eUID = 65534; eGID = 65534;
capabilityies: = cap_chown,...

    可以看到,eUID与eGID(有效用户、组ID)都为65534

  2. 在另一个终端中执行echo '0 1000 1' > /proc/PID/uid_map命令

    eric@eric_ubuntu_server:~$ ps -C demo_userns -o 'pid uid comm'
PID   UID COMMAND
4738  1000 demo_userns
4739  1000 demo_userns
eric@eric_ubuntu_server:~$ echo '0 1000 1' > /proc/4739/uid_map

    即查看当前子进程的PID,之后向/proc/PID/uid_map文件中写如映射信息。

    回到另一个终端我们看到:

    eUID = 0; eGID = 65534;
capabilityies: = cap_chown,...
eUID = 0; eGID = 65534;
capabilityies: = cap_chown,...

    子进程在新创建的User Namespace中建立了用户的映射,不再是默认65534

  3. 在上述相同的终端中执行如下命令

    eric@eric_ubuntu_server:~$ echo 'deny' > /proc/4739/setgroups
eric@eric_ubuntu_server:~$ echo '0 1000 1' > /proc/4739/gid_map

    首先向/proc/PID/setgroups文件中写入字符串’deny’,之后将映射信息写入gid_map

    回到另一个终端,看到:

    eUID = 0; eGID = 0;
capabilityies: = cap_chown,...
capabilityies: = cap_chown,...

    即将子进程的User NamespaceID为0的用户/组映射到了父NamespaceID为1000的用户/组。

映射规则以及深入探索映射

关于uid_mapgid_map的映射规则不在少数,且涉及更深层次的系统细节,本文不详细讨论这些内容,感兴趣的可以参考Linux user_namespace(7),建议运行其后的示例程序以获得更直观的感受。

另外,通过shell命令或其它方式查看用户与组ID的映射时,得到的结果与当前进程所在的User Namespace有关,详细信息参考上述Linux man手册的示例程序,此处不再详细描述。

总结

Linux中User Namespace为非特权用户提供了获得特权的途径,由于其相关细节非常之多,本文仅概括性地描述了一些常见的操作及可能遇到的问题。针对·User Namespace·的运用还要结合其它类型的·Namespace·才可彰显,作者也会在接下来的学习过程中进行记录。

EricJeffrey
关注
专栏目录
Linux capability详解
SHELLCODE_8BIT的博客
10-12 1587
Linux2.2前root权限简单划分为root和非root,那么root拥有全部权限,非root拥有有限的权限,如果非root用户需要安装软件,要么切换为root用户,要么使用sudo。如果我们以非root用户安装软件,会有如下提示,提示没权限。当我们使用setuid功能后,既让一个程序在运行时,能够获得root权限。如下所示非root用户成功执行apt-get安装软件。但是有没有发现,我们只需要安装功能,却在执行该进程时,拥有了root权限。可以做更多高危操作,
Linux笔记--man指令(福利)
中华田园巨龙
12-22 396
介绍 Linux提供了一个帮助手册,可以供使用者进行查询。 格式 man 代号 数据 1 使用者在shell中可以操作的指令或可执行档 2 系統核心可呼叫的函数与工具等 3 一些常用的函数(function)与函数库(library),大部分是C的函数库(libc) 4 装置档案的说明,通常在/dev下的档案 5 设定档或者是某些档案的格式 6 游戏(games) 7 惯例与协定等,例如Linux档案系统、网络协定、ASCII code等等的說明 8 系統管理員可用的管理指令 9 跟kernel有关的文
Namespaces in operation, part 7: Network namespaces
新博客:https://aping-dev.com/
11-03 258
自从上次我们研究 Linux 命名空间以来已经有一段时间了。我们的系列缺少了一篇,现在补上:网络命名空间。顾名思义,网络命名空间将网络设备、地址、端口、路由、防火墙规则等的使用划分在不同的盒子,基本上是在一个单独运行的内核实例中虚拟化网络。网络命名空间在 2.6.24 版进入内核,约 5 年前;大概一年后,它们才进入黄金时段。从那以后,它们似乎在很大程度上被开发人员忽略了。 基本的网络命名空间管理...
Namespaces in operation, part 1: namespaces overview
新博客:https://aping-dev.com/
10-29 304
Linux 3.8 合并窗口接受了 Eric Biederman 的大量用户命名空间及相关的补丁。尽管仍有一些细节待完成,例如,许多 Linux 文件系统还不知道用户命名空间,但用户命名空间的实现已经在功能上完成了。 用户命名空间的完成是一个里程碑。首先,这项工作代表了迄今为止命名空间中最复杂实现之一的完成,因为自从用户命名空间实现首次实现(在Linux2.6.23中)以来,已经有五年左右的时间了...
Namespaces in operation, part 6: more on user namespaces
新博客:https://aping-dev.com/
11-02 230
本文中,继续上周关于用户命名空间的讨论。特别的,我们看一下更多有关与用户命名空间、capabilities 的交互及用户命名空间与其它类型的命名空间的结合。本文是命名空间系列的最后一篇。 用户命名空间和 capabilities 每个进程都会关联特定用户命名空间。一个通过不带 CLONE_NEWUSER 标志的 fork() 或 clone() 创建的进程与父进程位于同一用户命名空间。进程如果在目...
Linux Namespaces in operation记录 - part 7
EricJeffrey的博客
08-29 139
文章目录基础网络Namespace管理Network Namespace 配置Network Namespace的用途总结 注:本文绝大部分内容来自Linux Namespaces实践part 7,原文系列文章详细描述了Linux Namespace相关内容,英语过关的建议阅读原文,本文内容主要用来记录学习内容,如有不当之处还请评论区指正。 Network Namespace隔离了系统中的网络设备...
Linux Namespace系列(07):user namespace (CLONE_NEWUSER) (第一部分)
weixin_34195546的博客
09-15 268
User namespace用来隔离user权限相关的Linux资源,包括user IDs and group IDs,keys , 和capabilities. 这是目前实现的namespace中最复杂的一个,因为user和权限息息相关,而权限又事关容器的安全,所以稍有不慎,就会出安全问题。 user namespace可以嵌套(目前...
深入理解Linux内核第3版--笔记-3.pdf
u011961033的专栏
10-16 726
Chapter 12. The Virtual Filesystem    five standard Unix file:       1:regular files,2.directories,3.symbolic links,4.Device files,5. pipes    12.1. The Role of the Virtual Filesystem (VFS)     Fi...
Linux磁盘挂载指令参考手册-MOUNT(8)
weixin_33881140的博客
09-12 4245
2019独角兽企业重金招聘Python工程师标准>>> ...
Android 筆記-Linux Kernel SMP (Symmetric Multi-Processors) 開機流程解析 Part(3) Linux 多核心啟動流程從rest_init到ker
軟體勞工.
08-05 1万+
Android 筆記-Linux Kernel SMP  (Symmetric Multi-Processors) 開機流程解析 Part(3) Linux 多核心啟動流程從rest_init到kernel_init與CPU Idle/HotPlug機制     hlchou@mail2000.com.tw by loda. Loda's Blog App BizOrz
Linux中 /proc/[pid] 目录各文件简析
运维派
12-26 2319
Linux 内核提供了一种通过 proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc 文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过 proc 得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取 proc 文件时,proc 文件系统
Linux Namespace系列(08):user namespace (CLONE_NEWUSER) (第二部分)
weixin_34088583的博客
09-15 410
本篇将主要介绍user namespace和其他类型的namespace的关系。 权限涉及的范围非常广,所以导致user namespace比其他的namespace要复杂; 同时权限也是容器安全的基础,所以user namespace非常重要。 本篇所有例子都在ubuntu-server-x86_64 16.04下执行通过 和其他类型的...
linux 查看进程信息笔记(ll /proc/pid、查看进程可执行文件路径、查看可执行文件目录)
Dontla的博客
05-18 1899
文章目录前提实操 前提 以hikflow_demo为例(在命令行下而非在海康容器里),我们查看它启动后的进程信息包含哪些 信息位置在/proc/[pid]/ 实操 ps查看进程号为6231 cd /proc/6231/ ls -lah # ls -lah dr-xr-xr-x 8 admin root 0 May 18 00:33 . dr-xr-xr-x 137 admin root 0 Jan 1 1970 .. -r--------
Linux /proc/pid目录下相应文件的信息说明和含义
热门推荐
Enweitech Software Works
11-29 2万+
Proc是一个虚拟文件系统,在Linux系统中它被挂载于/proc目录之上。Proc有多个功能 ,这其中包括用户可以通过它访问内核信息或用于排错,这其中一个非常有 用的功能,也是Linux变得更加特别的功能就是以文本流的形式来访问进程信息。很Linux命令(比如 ps、toPpstree等)都需要使用这个文件系统的信息。注意,本文就是向用户介绍一些访问这些信息的方法 。需要说明的是,本文所述的内容
高危!!Kubernetes 新型容器逃逸漏洞预警
k8s 生态
03-02 365
2022 年 1 月 18 日,Linux 维护人员和供应商在 Linux 内核(5.1-rc1+)文件系统上下文功能的 legacy_parse_param 函数中发现一个堆缓冲区溢出[...
Linux下进程信息的深入分析
weixin_34411563的博客
04-27 676
这里我们主要介绍进程的状态,进程的状态可以通过/proc/PID/status来查看,也可以通过/proc/PID/stat来查看。 如果说到工具大家用的最多的ps也可以看到进程的信息。这里我们通过/proc/PID/status来分析进程的信息。 在2.6.18之后的内核,多了capibilty/cpusets等信息.   查看进程状态信息如下: more status Name: ...
Alpine Linux的安装配置
EricJeffrey的博客
07-17 3089
Alpine Linux是一款安全、轻量的Linux发行版,基于musl libc and busybox。本文简要描述了Alpine Linux的安装过程以及VMware Player端口映射的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值