接下来打算逐个学习一下Linux namespace的作用和用法,顺序不一定科学,随心随性学习法。。第一个学的是User namespace,先学这个是因为在看Chrome沙箱的时候,用到的就是User namespace。
1.命令行使用
通过unshare命令可以启动所有的7种namespace,启动user namespace:
1
2
| fanrong@fanrong $ unshare --user -r /bin/bash
root@fanrong #
|
通过-r选项,将新user namespace中的root用户映射到外面的fanrong用户。
接下来介绍一下映射,使用id命令查看当前用户的ID,使用unshare命令创建一个新user namespace:
1
2
3
| fanrong@fanrong $ unshare --user /bin/bash
nobody@fanrong $ id
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)
|
看到用户和组变成了nobody和nogroup,这是因为没有对父user namespace和子user namespace的ID进行映射。下面我们来进行手动映射,映射ID的方法就是添加映射信息到/proc/NEW_PID/uid_map和/proc/NEW_PID/gid_map文件中。配置信息的格式如下:
1
| inside-ID outside-ID length
|
例如,0 1000 500这条配置就表示子user namespace中的0500映射到父user namespace中的10001500。
在新的user namespace中查看当前进程ID:
1
2
| nobody@fanrong $ echo $$
4754
|
新打开一个终端,将映射配置写入上面说的两个文件。虽然这两个文件都是fanrong用户的,但是如果直接往里写会报Operation not permitted,根本的原因在于当前的 bash 进程没CAP_SETUID和CAP_SETGID的权限:
1
2
3
4
| fanrong@fanrong $ Bazel cat /proc/$$/status | egrep 'Cap(Inh|Prm|Eff)'
CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
|
为/bin/bash添加相关的capabilities:
1
2
3
4
5
6
| fanrong@fanrong $ sudo setcap cap_setgid,cap_setuid+ep /bin/bash
fanrong@fanrong $ exec bash
fanrong@fanrong $ cat /proc/$$/status | egrep 'Cap(Inh|Prm|Eff)'
CapInh: 0000000000000000
CapPrm: 00000000000000c0
CapEff: 00000000000000c0
|
再向文件中写入映射配置:
1
2
| fanrong@fanrong $ echo '0 1000 500' > /proc/4754/uid_map
fanrong@fanrong $ echo '0 1000 500' > /proc/4754/gid_map
|
回到新user namespace的终端,重新加载bash:
1
2
3
| nobody@fanrong $ exec bash
root@fanrong # id
uid=0(root) gid=0(root) groups=0(root),65534(nogroup)
|
2.代码实现
代码实现是按照上面映射的方法进行实现的,先执行unshare,再向当前进程的gid_map和uid_map写入映射配置,但是有个问题是运行之后只有uid映射了,gid没有映射,不知道什么原因。需要向setgroups写入deny,gid才能正确映射。完整代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
#define _GNU_SOURCE
#include <sched.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/types.h>
int main()
{
int flags;
int ret;
flags = 0;
flags |= CLONE_NEWUSER;
if (unshare(flags) == -1) {
perror("unshare");
exit(-1);
}
char fname[30];
pid_t pid = getpid();
sprintf(fname, "/proc/%d/setgroups", pid);
int fd = open(fname, O_WRONLY|O_CLOEXEC, 0644);
if (fd == -1) {
printf("Could not open %s\n", fname);
exit(-1);
}
ret = write(fd, "deny", 4);
close(fd);
sprintf(fname, "/proc/%d/gid_map", pid);
fd = open(fname, O_WRONLY|O_CLOEXEC, 0644);
if (fd == -1) {
printf("Could not open %s\n", fname);
exit(-1);
}
ret = write(fd, "0 1000 1", 8);
close(fd);
sprintf(fname, "/proc/%d/uid_map", pid);
fd = open(fname, O_WRONLY|O_CLOEXEC, 0644);
if (fd == -1) {
printf("Could not open %s\n", fname);
exit(-1);
}
ret = write(fd, "0 1000 1", 8);
close(fd);
char *argv[] = {"bash", NULL};
execvp("/bin/bash", argv);
}
|
reference
https://man7.org/linux/man-pages/man2/unshare.2.html
https://www.cnblogs.com/sparkdev/p/9462838.html