. User namespaces
User namespace主要隔离了安全相关的标识符(identifiers)和属性(attributes),包括用户ID、用户组ID、root目录、key(指密钥)以及特殊权限。说得通俗一点,一个普通用户的进程通过clone()创建的新进程在新user namespace中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是他创建的容器进程却属于拥有所有权限的超级用户,这个技术为容器提供了极大的自由。
User namespace是目前的六个namespace中最后一个支持的,并且直到Linux内核3.8版本的时候还未完全实现(还有部分文件系统不支持)。因为user namespace实际上并不算完全成熟,很多发行版担心安全问题,在编译内核的时候并未开启USER_NS。实际上目前Docker也还不支持user namespace,但是预留了相应接口,相信在不久后就会支持这一特性。所以在进行接下来的代码实验时,请确保你系统的Linux内核版本高于3.8并且内核编译时开启了USER_NS(如果你不会选择,可以使用Ubuntu14.04)。
Linux中,特权用户的user ID就是0,演示的最终我们将看到user ID非0的进程启动user namespace后user ID可以变为0。使用user namespace的方法跟别的namespace相同,即调用clone()或unshare()时加入CLONE_NEWUSER标识位。老样子,修改代码并另存为userns.c,为了看到用户权限(Capabilities),可能你还需要安装一下libcap-dev包。
首先包含以下头文件以调用Capabilities包。
#include
其次在子进程函数中加入geteuid()和getegid()得到namespace内部的user ID,其次通过cap_get_proc()得到当前进程的用户拥有的权限,并通过cap_to_text()输出。
intchild_main(void*args){
printf("在子进程中!\n");
cap_tcaps;
printf("eUID = %ld; eGID = %ld; ",
(long)geteuid(),(long)getegid());
caps=cap_get_proc();
printf("capabilities: %s\n",cap_to_text(caps,NULL));
execv(child_args[0],child_args);
return1;
}
在主函数的clone()调用中加入我们熟悉的标识符。
//[...]
intchild_pid=clone(child_main,child_stack+STACK_SIZE,
CLONE_NEWUSER|SIGCHLD,NULL);
//[...]
至此,第一部分的代码修改就结束了。在编译之前我们先查看一下当前用户的uid和guid,请注意此时我们是普通用户。
$ id-u
1000
$ id-g
1000
然后我们开始编译运行,并进行新建的user namespace,你会发现shell提示符前的用户名已经变为nobody。
sun@ubuntu$ gcc userns.c-Wall-lcap-o userns.o&&./userns.o
程序开始:
在子进程中!
eUID=65534;eGID=65534;capabilities:=cap_chown,cap_dac_override,[...]37+ep<
nobody@ubuntu$
通过验证我们可以得到以下信息。
user namespace被创建后,第一个进程被赋予了该namespace中的全部权限,这样这个init进程就可以完成所有必要的初始化工作,而不会因权限不足而出现错误。
我们看到namespace内部看到的UID和GID已经与外部不同了,默认显示为65534,表示尚未与外部namespace用户映射。我们需要对user namespace内部的这个初始user和其外部namespace某个用户建立映射,这样可以保证当涉及到一些对外部namespace的操作时,系统可以检验其权限(比如发送一个信号或操作某个文件)。同样用户组也要建立映射。
还有一点虽然不能从输出中看出来,但是值得注意。用户在新namespace中有全部权限,但是他在创建他的父namespace中不含任何权限。就算调用和创建他的进程有全部权限也是如此。所以哪怕是root用户调用了clone()在user namespace中创建出的新用户在外部也没有任何权限。
最后,user namespace的创建其实是一个层层嵌套的树状结构。最上层的根节点就是root namespace,新创建的每个user namespace都有一个父节点user namespace以及零个或多个子节点user namespace,这一点与PID namespace非常相似。
接下来我们就要进行用户绑定操作,通过在/proc/[pid]/uid_map和/proc/[pid]/gid_map两个文件中写入对应的绑定信息可以实现这一点,格式如下。
ID-inside-ns ID-outside-ns length
写这两个文件需要注意以下几点。
这两个文件只允许由拥有该user namespace中CAP_SETUID权限的进程写入一次,不允许修改。
写入的进程必须是该user namespace的父namespace或者子namespace。
第一个字段ID-inside-ns表示新建的user namespace中对应的user/group ID,第二个字段ID-outside-ns表示namespace外部映射的user/group ID。最后一个字段表示映射范围,通常填1,表示只映射一个,如果填大于1的值,则按顺序建立一一映射。
明白了上述原理,我们再次修改代码,添加设置uid和guid的函数。
//[...]
voidset_uid_map(pid_tpid,intinside_id,intoutside_id,intlength){
charpath[256];
sprintf(path,"/proc/%d/uid_map",getpid());
FILE*uid_map=fopen(path,"w");
fprintf(uid_map,"%d %d %d",inside_id,outside_id,length);
fclose(uid_map);
}
voidset_gid_map(pid_tpid,intinside_id,intoutside_id,intlength){
charpath[256];
sprintf(path,"/proc/%d/gid_map",getpid());
FILE*gid_map=fopen(path,"w");
fprintf(gid_map,"%d %d %d",inside_id,outside_id,length);
fclose(gid_map);
}
intchild_main(void*args){
cap_tcaps;
printf("在子进程中!\n");
set_uid_map(getpid(),0,1000,1);
set_gid_map(getpid(),0,1000,1);
printf("eUID = %ld; eGID = %ld; ",
(long)geteuid(),(long)getegid());
caps=cap_get_proc();
printf("capabilities: %s\n",cap_to_text(caps,NULL));
execv(child_args[0],child_args);
return1;
}
//[...]
编译后即可看到user已经变成了root。
$ gcc userns.c-Wall-lcap-o usernc.o&&./usernc.o
程序开始:
在子进程中!
eUID=0;eGID=0;capabilities:=[...],37+ep
root@ubuntu:~#
至此,你就已经完成了绑定的工作,可以看到演示全程都是在普通用户下执行的。最终实现了在user namespace中成为了root而对应到外面的是一个uid为1000的普通用户。
如果你要把user namespace与其他namespace混合使用,那么依旧需要root权限。解决方案可以是先以普通用户身份创建user namespace,然后在新建的namespace中作为root再clone()进程加入其他类型的namespace隔离。
讲完了user namespace,我们再来谈谈Docker。虽然Docker目前尚未使用user namespace,但是他用到了我们在user namespace中提及的Capabilities机制。从内核2.2版本开始,Linux把原来和超级用户相关的高级权限划分成为不同的单元,称为Capability。这样管理员就可以独立对特定的Capability进行使能或禁止。Docker虽然没有使用user namespace,但是他可以禁用容器中不需要的Capability,一次在一定程度上加强容器安全性。
当然,说到安全,namespace的六项隔离看似全面,实际上依旧没有完全隔离Linux的资源,比如SELinux、 Cgroups以及/sys、/proc/sys、/dev/sd*等目录下的资源。关于安全的更多讨论和讲解,我们会在后文中接着探讨。
8. 总结
本文从namespace使用的API开始,结合Docker逐步对六个namespace进行讲解。相信把讲解过程中所有的代码整合起来,你也能实现一个属于自己的“shell”容器了。虽然namespace技术使用起来非常简单,但是要真正把容器做到安全易用却并非易事。PID namespace中,我们要实现一个完善的init进程来维护好所有进程;network namespace中,我们还有复杂的路由表和iptables规则没有配置;user namespace中还有很多权限上的问题需要考虑等等。其中有些方面Docker已经做的很好,有些方面也才刚刚开始。希望通过本文,能为大家更好的理解Docker背后运行的原理提供帮助。
Docker 的详细介绍:请点这里
Docker 的下载地址:请点这里