namespaces之 User Namespace机制

最新推荐文章于 2023-12-10 11:21:00 发布
最新推荐文章于 2023-12-10 11:21:00 发布
阅读量4.4k 收藏 6
点赞数
CC 4.0 BY-SA版权
文章标签: namespace USER namespace docker capability
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ty_laurel/article/details/51262717
本文深入探讨了Linux USER Namespace机制,它允许用户ID和组ID的隔离,使得容器内的进程可以在user namespace中拥有root权限,而在宿主机上保持非特权状态。通过uid_map和gid_map文件实现映射,以及测试CAP_SETUID权限,阐述了如何在用户命名空间中设置和管理用户和组ID。然而,实际操作中遇到 gid 映射未成功的问题,尚待解决。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

USER Namespaces

主要是对用户和用户组进行隔离。它是从Linux 3.8内核才慢慢支持的,现在有些linux发行版还不支持user namespaces(主要是因为还不完全成熟,处于对安全的担心,在编译内核时并未开启USER Namespaces,Centos 7就不支持,后边的测试基于Ubuntu 14.04). 
User namespaces允许每个命名空间中User ID和 group ID的映射。在容器上下文环境中,这就意味着User和User Group 在容器中的操作可以拥有特权,在容器外边没有。换句话说,一个进程在user namespace中操作的权限设置不同于在宿主系统中的权限设置。user namespace一个特定的目标就是允许一个进程在容器中的操作拥有root特权,与此同时,在托管容器的宿主机上是一个无特权的正常进程。 
为了支持这种行为,每个进程的UID实际上有两种值:容器中的是一种,容器外是另一种。Group ID和进程UID相似。这种对偶性通过维护每个 User namespace用户ID的映射完成的:每个用户命令空间有一张表,这张表中记录着宿主机中用户ID对应namespace 的用户ID。这种映射是通过读写/proc/PID/uid_map(/proc/PID/gid_map gid映射文件)伪文件来设置,其中PID是user namespace这个进程的进程ID。例如,宿主机中UID为1000的用户被映射到namespace中可能会为0,用户ID为1000的进程在宿主机中是一个常态的用户(普通用户),但是它在namespace中将拥有root特权。如果在宿主机系统中没有为特定用户ID提供映射,在user namespace中,这个user ID会映射到/proc/sys/kernel/overflowuid(gid文件为overflowgid)文件提供的值(这个文件中默认的值是65534)。

测试使,只需要在clone函数中添加CLONE_NEWUSER标志即可:

 

  

   clone(child_main, child_stack + STACK_SIZE, CLONE_NEWUSER | SIGCHLD, NULL);

编译后,普通用户(ty)就可以执行,先查看该用户ID:

 

  

   ty@ubuntu:~$ id
  

  

   uid=1000(ty) gid=1000(ty) groups=1000(ty)

使用clone函数创建进程,激活user namespace:

 

  

   #define _GNU_SOURCE 
  

  

   #include <sys/types.h>
  

  

   #include <sys/wait.h>
  

  

   #include <stdio.h>
  

  

   #include <fcntl.h>
  

  

   #include <stdlib.h>
  

  

   #include <sched.h>
  

  

   #include <signal.h>
  

  

   #include <unistd.h>
  

  

    
  

  

   #define STACK_SIZE (1024 * 1024)
  

  

    
  

  

   static char child_stack[STACK_SIZE];  
  

  

    
  

  

   int child_main(void* arg) {
     
  

  

           char path[256];
  

  

           printf("Child inside Namespace\n");
  

  

           printf("euid=%d, egid=%d, pid=%d\n",geteuid<
最低0.47元/天 解锁文章

200万优质内容无限畅学
ty_laurel
关注
user_namespace分析(1)
tanzhe2017的博客
07-12 2106
1      前言Linux系统的安全体系文件权限管理是通过自主访问机制(Discretionary Access Control,DAC)实现的。自主访问机制指对象(比如程序、文件或进程等)的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO(User、Ggroup、Other)和ACL(Access Control List,访问控制列表)权限管理方式就是典型的自主访问机制。Lin...
Linux Namespace
最新发布
huchao_lingo的博客
07-15 1367
Linux Namespace详解,C语言代码测试
Linux Namespace系列(07):user namespace (CLONE_NEWUSER) (第一部分)
weixin_34195546的博客
09-15 331
User namespace用来隔离user权限相关的Linux资源,包括user IDs and group IDs,keys , 和capabilities. 这是目前实现的namespace中最复杂的一个,因为user和权限息息相关,而权限又事关容器的安全,所以稍有不慎,就会出安全问题。 user namespace可以嵌套(目前...
User namespace
weixin_30369041的博客
02-25 220
uid和gid其实很简单,主要是为了填充文件的uid和gid,这些都是静态的,那么用户执行程序这又是什么意思呢?那么进程的权限又是指什么呢? http://blog.51cto.com/skypegnu1/1622707 既然进程需要代替我们去完成某些动作,当我们需要访问资源的时候,必须给相应的进程赋予权限。【也就是说进程必须要携带发起这个进程用户的身份信息】,才能够进行合法操作。 【进程...
User Namespace
知其然,顺其道
06-04 1361
User Namespace 问题描述 默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切。 通过本文,希望读者可以掌握以下知识点,从而让容器以更安全的方式运行 Linux内核是通过uid和gid来控制权限,而不是通过用户名 容器和宿主机共享内核,内核控制的uid和gid也只有一套,所以同一个uid在宿主机和容器中代表的是同一个用户(即便在不同的地方显示了不同的用户名)
USER Namespace
Go的全部
12-27 244
User Namespace 隔离用户的用户组ID package main import ( "os" "os/exec" "syscall" ) func main() { cmd := exec.Command("sh") cmd.SysProcAttr = &syscall.SysProcAttr{ Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID |
Linux内核-容器之namespace
feilengcui008的专栏
06-10 8224
1. 介绍简单玩了下Linux kernel为容器技术提供的基础设施之一namespace(另一个是cgroups),包括uts/user/pid/mnt/ipc/net六个(3.13.0的内核). 这东西主要用来做资源的隔离,我感觉本质上是全局资源的映射,映射之间独立了自然隔离了。主要涉及到的东西是: clone setns unshare /proc/pid/ns, /proc/pid/uid_
K8S学习指南(5)-k8s核心对象namespace
俞兆鹏的博客
12-10 3763
Kubernetes(简称K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。在Kubernetes中,Namespace是一个重要的概念,它允许用户在集群中创建虚拟的集群划分,以便更好地组织和管理应用程序、服务以及资源。本文将深入探讨Kubernetes Namespace的作用、使用方法和示例。Namespace是Kubernetes中用于将集群划分为多个虚拟集群的一种机制。它提供了一种将资源隔离开的方式,使得在同一个集群中可以运行多个相互独立的应用程序或服务。
部署kubernetes集群
m0_73475571的博客
04-23 307
安装docker-ce和kubernetes部署工具。在将初始化出现加入集群的命令,复制到node节点。更新系统并安装所需的软件包,以及做时间同步。所有节点修改主机名并配置映射。
Linux Namespace系列(08):user namespace (CLONE_NEWUSER) (第二部分)
weixin_34088583的博客
09-15 470
本篇将主要介绍user namespace和其他类型的namespace的关系。 权限涉及的范围非常广,所以导致user namespace比其他的namespace要复杂; 同时权限也是容器安全的基础,所以user namespace非常重要。 本篇所有例子都在ubuntu-server-x86_64 16.04下执行通过 和其他类型的...
Docker】资源隔离(五):User namespaces
Code · Cloud · Think · Repeat
10-15 819
user namespace 主要隔离了安全相关的标识符(identifier)和属性(attribute),包括用户 ID、用户组 ID、root 目录、key(指密钥)以及特殊权限。通俗地讲,一个普通用户的进程通过 clone() 创建的新进程在新 user namespace 中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是它创建的容器进程却属于拥有所有权限的超级用户,这个技术为容器提供了极大的自由。
docker namespaces
weixin_34310785的博客
12-05 276
https://docs.docker.com/engine/security/userns-remap/#prerequisites 注:以下验证环境为centos7.5 docker18.09.0 Usernamespaces 使用user namespaces可以防止容器权限过大造成的风险,user namespaces主要涉及用户和组。在unix系统中,用户和组可以决定文...
Docker 学习笔记12 容器技术原理 User Namespace
猿来这样-谢厂节的博客
06-16 907
User Namespace一、User Namespace二、演示映射user ID和group IDuser namespace的 owner三、clone实现 一、User Namespace user namespace和权限息息相关,事关容器的安全。 user namespace可以嵌套,内核控制最多32层。除了系统默认的user namespace外,所有的user namespace都有一个父user namespace。 当在一个进程中调用unshare或clone创建新的user nam
linux user namespace 和cgroup
inquisiter
03-02 631
makenod 创建设备文件 应用程序与系统驱动交互的文件中间形式,体现了linux一切皆文件的思想。 mknod 的标准形式为: mknod DEVNAME {b | c} MAJOR MINOR 1,DEVNAME是要创建的设备文件名,如果想将设备文件放在一个特定的文件夹下,就需要先用mkdir在dev目录下新建一个目录; 2, b和c 分别表示块设备和字符设备: b表...
Singularity实践教程 + DockerSingularity 的避坑指南
热门推荐
Qy_sfsh的博客
07-08 1万+
因研究需要,复现某论文,使用的是某校的服务器集群。他们服务器使用的容器是Singularity,而之前自己在院里用的时dockerdocker学了没多久,就开始Singularity。恰恰是会一点docker,所以在转用singularity的过程中,踩的坑比较多(造孽啊)。记录一下,前事不忘,后世之师.........
Docker基础技术:Linux Namespace【下】
weixin_34015860的博客
04-29 176
收获: 模仿docker0的那一套IP命令集,太TMD酷了!I'm starving. 另外两点: 1. 网络原理之后的Docker方面: Docker的resolv.conf没有用这样的方式,而是用了上篇中的Mount Namesapce的那种方式 另外,docker是用进程的PID来做Network Namespace的名称的。 2. I...
Linux /proc与/sys目录分析
枫潇潇
06-03 2583
proc与sys目录分析 基于Apollo,gingerbread,公版(LeOs之后还会加一些接口的,不予分析) 具体标准接口,可见linux代码documents/proc.txt在这里不做赘述,仅仅对我们解系统问题时用的信息做阐述。 并且很多信息也可以从命令中读出,那样看起来更方便并且已经加以分析,往往源数据来自于proc。 /proc/msm_pm_stats 该文件为MSM在/arch/arm/mach_msm/pm2.c提供,主要描述了PM各种状态进入次数以及时间,并且统计时间段内落入的次数。
Ubuntu安装singularity报错记录
qajhdj的博客
05-18 4076
需要用singularity执行nextflow命令
Linux ns 1. User Namespace 详解
pwl999的博客
03-24 3395
文章目录1. 简介2. user namespace的创建2.1 原理介绍2.2 操作实例2.3 代码分析3. `uid/gid`隔离3.1 原理介绍3.2 操作实例3.3 代码分析3.2.1 map_write()3.2.2 getuid()3.2.3 stat64()3.2.4 acl_permission_check()4. `capability`隔离4.1 原理介绍4.2 操作实例4.3 代码分析4.3.1 ns_capable()4.3.2 cap_bprm_set_creds()参考文档: 1
Linux下的cgroup与namespaces资源管理
- 用户 ID namespacesuser):允许一个用户在不同的namespaces内拥有不同的UID和GID。 - UTS namespaces:隔离了系统的nodename和domainname。 - 控制组 namespaces(cgroup):为每个namespaces提供了独立的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值