Início / user-210636

koalo's questions

Martin Hope
koalo
Asked: 2018-07-20 12:36:06 +0800 CST
  • 10

Observei o seguinte fenômeno que não consigo explicar. Depois de adicionar o CAP_SYS_ADMINrecurso, unsharenão é mais possível gravar em arquivos /proc/self/setgroups.

Na verdade, gravar nesse arquivo requer a capacidade, mas isso é obtido alterando o namespace do usuário. Então, por que adicionar o recurso ao processo pai impede a gravação nesse arquivo?

me@myhost:~$ unshare -r
root@myhost:~# exit
logout

me@myhost:~$ sudo setcap cap_sys_admin=ep /usr/bin/unshare
me@myhost:~$ unshare -r
unshare: cannot open /proc/self/setgroups: Permission denied

me@myhost:~$ sudo setcap cap_sys_admin= /usr/bin/unshare
me@myhost:~$ unshare -r
root@myhost:~#

A propósito: estou executando o Ubuntu 16.04.4 LTS com kernel versão 4.4 e a versão do util-linux (incluindo unshare) é 2.27.1.

namespace unshare
Martin Hope
koalo
Asked: 2018-07-17 11:43:51 +0800 CST
  • 20

Depois de ler sobre os namespaces do Linux, fiquei com a impressão de que eles são, entre muitos outros recursos, uma alternativa ao chroot. Por exemplo, neste artigo :

Outros usos [de namespaces] incluem [...] o isolamento no estilo chroot() de um processo para uma parte da hierarquia de diretório único.

No entanto, quando clono o namespace mount, por exemplo, com o comando a seguir, ainda vejo toda a árvore raiz original.

unshare --mount -- /bin/bash

Entendo que agora posso executar montagens adicionais no novo namespace que não são compartilhados com o namespace original e, portanto, isso fornece isolamento, mas ainda é a mesma raiz, por exemplo, /etcainda é o mesmo para ambos os namespaces. Ainda preciso chrootalterar a raiz ou existe uma alternativa?

Eu esperava que essa pergunta fornecesse uma resposta, mas a resposta usa apenas chroot, novamente.

EDIÇÃO #1

Havia um comentário agora excluído que mencionava pivot_root. Como isso é realmente parte de linux/fs/namespace.c, na verdade é parte da implementação de namespaces. Isso sugere que alterar o diretório raiz apenas com unsharee mountnão é possível, mas os namespaces fornecem uma versão própria - mais inteligente - do chroot. Ainda não entendi a ideia principal dessa abordagem que a torna fundamentalmente diferente de chroot, mesmo depois de ler o código-fonte (no sentido de, por exemplo, segurança ou melhor isolamento).

EDIÇÃO #2

Esta não é uma duplicata desta pergunta . Depois de executar todos os comandos da resposta, tenho separado /tmp/tmp.vyM9IwnKuY (ou similar), mas o diretório raiz ainda é o mesmo!

chroot namespace