Linux namespace隔离容器的运行环境

最新推荐文章于 2022-10-21 16:33:39 发布
最新推荐文章于 2022-10-21 16:33:39 发布
阅读量246 收藏
点赞数
分类专栏: Docker
原文链接:https://www.cnblogs.com/sammyliu/p/5878973.html
版权
概念
  • 通过将某个特定的全局系统资源通过抽象方法使得namespace中的进程看起来拥有它们自己的隔离的全局系统资源实例、
  • 当Docker创建一个容器时,它会创建6种namespce的实例,然后把容器中的所有进程放到这些namespace中,使得Docker中的进程只能看到隔离的系统资源
  • 如下是Linux内核中的6种namespace
namespace被隔离的全局系统资源在容器语境下的隔离效果
mount namespace                                                              文件系统挂载点每个容器能看到不同的文件系统层次结构
UTS namespacenodename and domainname每个容器都可以有自己的hostname和domainname
IPC namespace特定进程间通信资源,包括System V IPC 和 POSIX message queues每个容器有自己的System V IPC 和 POSIX 消息队列文件系统,因此,只有在同一个IPC namespace的进程间才能互相通信
PID namespace进程ID数字空间process ID numberspace每个PID namespace 中的进程可以有其独立的PID;每个容器可以有其PID为1的root进程;也可以使得容器可以在不同的host之间迁移,因为namespace的进程ID和host无关了。这也使得容器中的每个进程有两个PID:容器的PID和host上的PID
Network namespace网络相关的系统资源每个容器用有其独立的网络设备,IP 地址,IP 路由表,/proc/net 目录,端口号等等。这也使得一个 host 上多个容器内的同一个应用都绑定到各自容器的 80 端口上
User namespace用户和组 ID 空间在 user namespace 中的进程的用户和组 ID 可以和在 host 上不同; 每个 container 可以有不同的 user 和 group id;一个 host 上的非特权用户可以成为 user namespace 中的特权用户
PID namespace

我们能够看到,在容器内外的PID时不同的:

  • 在容器内PID=1,PPID=0
  • 在容器外PID=xxx,PPID=xxxx,即docker-containerd-shim进程
  • 关于containerd, containerd-shim & container的关系,如下图
    Docker
  • Docker 引擎管理着镜像,然后一脚给containerd运行,containerd再使用runC运行容器
  • Containerd是一个简单的守护进程,它可以使用runC管理容器,使用gRPC暴露容器的其他功能。它管理容器的开始,停止,暂停和销毁。
  • 由于容器运行时是孤立的引擎,引擎最终能够启动和升级而无需重新启动容器
  • runC是要给轻量级的工具,它就是用来运行容器的,是一个小命令行工具,可以不用通过Docker引擎,直接操作容器
user namespace
  • Linux通过clone()系统调用中使用的CLONE_NUWUSER标志,一个单独的user namespace就会被创建出来
  • 新的user namespace中,有一个虚拟机用户和用户组的集合。这些用户/用户组可以映射到namespace之外的非root用户

在容器内部启动sleep进程
容器进程

在主机上查看该进程
主机进程
权限受限

可见容器内外都是root用户,且容器外的进程用户权限是受限的。但很明显,不能信任,其中可能存在漏洞。面对同样的进程,在容器内享有root权限,映射到主机上应该对应一个普通用户。

一般情况下,docker会帮我们创建好dockermap用户,没有的话就自己创建一个
创建dockermap用户
edit_daemon.json

重启docker后,再容器内创建sleep进程可见:
容器内sleep
映射到主机进程

检查Linux是否开启namespace

检查是否开启namespace

// 查看namespace关键字
CONFIG_UTS_NS=y
CONFIG_IPC_NS=y
CONFIG_USER_NS=y
CONFIG_PID_NS=y
CONFIG_NET_NS=y
network namespace

默认情况下,当docker实例被创建出来后,使用ip netns命令无法看到network namespace,因为ip netns命令是从/var/run/netns文件夹中读取内容的

  • 找到容器的主进程ID
ps -ef |grep [containerID]
  • 创建/var/run/netns目录以及符号链接
ln -s /proc/[container PID]/ns/net /var/run/netns/[containerID]
  • 此时可以使用ip netns
ip netns 
ip netns exec [containerID] ip addr

本文参考自 https://www.cnblogs.com/sammyliu/p/5878973.html

AlfredChaos
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux环境隔离
u013548568的博客
08-21 2108
conda隔离 首先创建一个新的账户 conda create -n lzhou python=3.6 查看环境信息 conda info --envs 出现的结果会是这个样子 然后激活lzhou这一个环境 source activate lzhou 这时候就进入lzhou这样的一个新的环境里面,但是即使这样的环境仍然是和公共的环境是共享的,例如local里面的其他软件, 不过可以继续操...
理解Docker(3):Docker 使用 Linux namespace 隔离容器运行环境
zdy0_2004的专栏
09-21 1407
http://www.cnblogs.com/sammyliu/p/5878973.html 本系列文章将介绍Docker的有关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器隔离性 - 使用 Linux namespace 隔离容器运行环境 (4)Docker 容器隔离性 - 使用 cgroups 限制容器使用的资源 (4)
linux namespace 隔离内核资源的方式 简介
whatday的专栏
02-23 2068
namespace 的概念 namespaceLinux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源,这两拨进程根本就感觉不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。 Linux namespaces 是对全局系统资源的一种封装隔离,使...
linux 资源隔离,资源隔离Linux namespace
weixin_39655689的博客
05-17 274
Linux namespace 简称 ns,在 2002 年 2.4.19 内核中被引入,发展到今天已经有 15 个年头了。2010 年后国内云计算爆发,紧接着 2013 年 Docker 崛起,ns 才作为不可或缺的一部分被重视起来。ns 本身其实比较简单,它是 Linux 内核的一种机制,给进程隔离和虚拟化内核资源用的。不同的进程是共享内核资源的。好比说大家住在同一个小区,虽然到家后关起门来谁...
Linux-3.10-x86_64 内核配置选项简介
热门推荐
samssm的专栏
06-01 1万+
http://www.jinbuguo.com/kernel/longterm-3_10-options.html Linux-3.10-x86_64 内核配置选项简介 作者:金步国 版权声明 本文作者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。 无担保:本文作者不保证作品内容准确无误,亦不承担任何由于使用此文档所导致的损
详解Linux Namespace之User
09-15
总的来说,User Namespace提供了一种灵活的权限隔离机制,使得在容器环境或其他需要限制权限的应用场景中,可以更加安全地运行程序,避免了全局root权限带来的潜在风险。它允许用户在自己的namespace内模拟root...
Docker基础知识之Linux namespace图文详解
01-11
实现资源隔离的核心技术就是 Linux namespace。这技术和很多语言的命名空间的设计思想是一致的(如 C++ 的 namespace)。 隔离意味着可以抽象出多个轻量级的内核(容器进程),这些进程可以充分利用宿主机的资源,宿...
如何隔离docker容器中的用户的方法
09-30
在 Docker 容器环境中,确保用户隔离是至关重要的安全措施,因为这能防止容器内的进程对宿主机系统造成潜在的危害。Docker 默认情况下并不自动启用用户隔离,而是依赖于 Linux 的 User Namespace 技术来实现这种隔离...
Linux下使用ip netns命令进行网口的隔离和配置ip地址
09-14
Linux操作系统中,网络接口的管理和配置是一项基本任务,尤其在多网络环境或者需要网络隔离的场景下。`ip netns`(Network Namespace)命令提供了一种强大的工具,允许我们创建独立的网络环境,每个环境都有自己的...
LinuxNamespace:回购罗文(Rowan)的SWE项目
03-08
Linux NamespaceLinux内核提供的一种隔离机制,它允许在单个操作系统实例中创建多个独立的视图,每个视图都仿佛运行在一个独立的操作系统环境中。这个特性被广泛应用于容器技术,如Docker和Kubernetes,使得多个...
Kubernetes生产实践系列之二十九:Kubernetes基础技术之容器关键技术实践
cloudvtech的博客
09-26 1228
一、前言 转载自https://blog.csdn.net/cloudvtech 转载自https://blog.csdn.net/cloudvtech 转载自https://blog.csdn.net/cloudvtech
【kernel exploit】CVE-2022-2588 Double-free 漏洞 DirtyCred 利用
panhewu9919的博客
10-21 1238
由于将 `route4_filter` 对象从链表中删除和释放时的检查条件不一致,导致该对象被释放后仍存于链表中,后面可以触发 **Double-Free**。需要 `User Namespaces` 才能触发。采用 DirtCred 方法进行提权。
LXC之内核编译选项探秘-续
暧暧远人村,依依墟里烟 ...
05-27 818
编译内核时,LXC需要设置哪些编译选项,了解CONFIG_VLAN_8021Q这个选项时,偶然发现 wiki.gentoo.org 上有详细的说明,摘录如下: wiki.gentoo.org/wiki/LXC General options General setup ---> [*] Control Group support ---> [*] Freezer c...
linux提升文件夹权限命令_CVE202014386:Linux内核权限提升漏洞分析
weixin_42425075的博客
12-30 286
0x00 前言最近一段时间,我一直在审计Linux内核中的数据包套接字源码,最后成功发现了CVE-2020-14386,这是Linux内核中的一个内存破坏漏洞。利用该漏洞,低权限用户可以在Linux系统中将权限提升至root级别。在本文中,我将与大家分享该漏洞的技术细节以及如何利用该漏洞。几年以前,研究人员在数据包套接字中发现了多个漏洞(CVE-2017-7308以及CVE-2016-8...
网络虚拟化(一):基础概念
zhouzhuo_CSUFT的博客
02-18 613
资源隔离技术 Linux的网络虚拟化得益于namespace和cgroup技术,其中namespace实现了资源的隔离,cgroup实现了资源的控制。 namespace概念 namespaceLinux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源,这两拨进程根本就感觉不到对方的存在。具体的...
user_namespace详解
07-23 1280
user_namespace struct user_namespace init_user_ns = { .uid_map = { .nr_extents = 1, .extent[0] = { .first = 0, .lower_first = 0, .count = 4294967295U, }, }, .gid_map = { .nr_extents = 1, .extent[0] = { .first = 0, .lower_first =...
如何通过数据包套接字攻击Linux内核
omnispace的博客
08-11 2482
一、前言 最近我花了一些时间使用syzkaller工具对Linux内核中与网络有关的接口进行了模糊测试(fuzz)。除了最近发现的DCCP套接字漏洞之外,我还发现了另一个漏洞,该漏洞位于数据包套接字(packet sockets)中。在这篇文章中,我会向大家介绍这个漏洞的发现过程,以及我们如何利用这个漏洞来提升权限。 该漏洞本身(CVE-2017-7308)是一个符号类型漏
Namespace:集群环境共享与隔离
zyy247796143的博客
07-19 419
kubernetes 通过 Namespace (命名空间)和 Context 的设置对不同的工作组进行区分,使得它们既可以共享一个 Kubernetes 集群的服务,也可以互不干扰。 # 创建Namespace 为了在 Kubernetes 集群中实现这两个分组,首先需要创建两个命名空间。 使用 namespace-development.yaml,创建 development 命名空间: ```yaml.........
[转载] namespace技术
weixin_30609331的博客
03-13 768
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation namespace技术和cgroup技术是现阶段实现轻量级虚拟化的基石, 本文详细解释了namespace技术的基本原理, 对于理解namespace技术非常有帮助 Docker背后的内核知识——Na...
分析Namespace隔离原理
最新发布
05-20
NamespaceLinux内核提供的一种隔离机制,可以将一部分系统资源...总的来说,Namespace隔离通过复制系统资源并在新的Namespace中提供给进程使用,实现了对系统资源的隔离独立控制,为容器技术等提供了强有力的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值