主页 / unix / 问题 / 443382
Accepted
TheDiveO
Asked: 2018-05-13 02:00:57 +0800 CST

访问 /proc/pid/ns/net 而不以 root 身份运行查询进程?

  • 772

在一个程序中,我通过扫描(符号)链接/proc/pid/来枚举网络名称空间。ns/net该程序在主机本身的“根”命名空间(原始 init)内运行。通常,我需要以 root 身份运行扫描仪部分,否则我只能有限地访问其他进程的/proc/pid/信息。如果可能,我想避免以 root 身份运行扫描程序,并且我想避免放弃特权的麻烦。

我需要为我的扫描程序设置哪个 Linux 功能,以便它可以由非 root 用户运行,并且仍然可以看到完整的/proc/pid/树并读取网络命名空间链接?

linux proc

2 个回答

  1. Best Answer

    经过一些试验和错误,我发现实际上CAP_SYS_PTRACE是需要的。

    相反,CAP_DAC_READ_SEARCHCAP_DAC_OVERRIDE没有给予所需的访问权限,其中包括readlink()和类似的操作。

    我所看到的可以交叉检查:首先,ptrace.c提供了必要的线索__ptrace_may_access()

    /* May we inspect the given task?
 * This check is used both for attaching with ptrace
 * and for allowing access to sensitive information in /proc.
 *
 * ptrace_attach denies several cases that /proc allows
 * because setting up the necessary parent/child relationship
 * or halting the specified task is impossible.
 */

    其次,nsfs 相关的函数,例如proc_ns_readlink()(间接)调用__ptrace_may_access().

    最后,man 7 namespaces提到:

    此子目录中的符号链接如下: [...] 取消引用或读取 (readlink(2)) 这些符号链接的权限由 ptrace 访问模式 PTRACE_MODE_READ_FSCREDS 检查管理;参见 ptrace(2)。

    • 3

  2. 准确的说:进入网络命名空间需要CAP_SYS_PTRACE和CAP_SYS_ADMIN,这里举个例子:

    # docker run -it --rm --pid host --cap-add CAP_SYS_PTRACE --cap-add CAP_SYS_ADMIN debian:bullseye-slim bash
root@8b40f2f48808:/# nsenter --net=/proc/1/ns/net bash

    另请参阅此答案

    • 0

相关问题