1. user namespace

user namespace 主要隔离了安全相关的标识符和属性,包括用户 ID,用户组 ID,key 和 capabilities 等。同样一个用户 id 在不同 user namespace 中会有不同的权限。比如,进程属于一个普通用户,但是它创建的 user namespace 确属于拥有所有权限的超级用户。使用 unshare 创建 user namespace:

chunqiu@chunqiu:/root/chunqiu/docker/mount/disk1$ unshare --user -r --mount /bin/bash

root@chunqiu:/root/chunqiu/docker/mount/disk1# id

uid=0(root) gid=0(root) groups=0(root)

root@chunqiu:/root/chunqiu/docker/mount/disk1# echo $$

13905

打开另一个 shell 窗口,查看进程 13905 所属用户:

root@chunqiu:~/chunqiu/docker/mount/disk1# ps -ef | grep 13905 | grep -v grep

chunqiu     13905 13880  0 08:26 pts/0    00:00:00 /bin/bash

从上例可以看出,进程 13905 在容器(user namespace)外属于一个普通用户,但是在 user namespace 里却属于 root 用户。

继续对上例进行深挖,unshare 的 -r 选项指明了 user namespace 用户和容器外用户的映射,查看 uid_map 和 gid_map:

root@chunqiu:/root/chunqiu/docker/mount/disk1# cat /proc/13905/uid_map

         0       1002          1

root@chunqiu:/root/chunqiu/docker/mount/disk1# cat /proc/13905/gid_map

         0       1002          1

可以看到 user namespace 内的 root(0) 用户/组和 user namespace 外的 chunqiu(1002) 用户/组建立映射。因此,在 user namespace 内的特权用户只是 user namespace 的普通用户,无法访问“权限不够”的文件/文件夹。如:

// user namespace 外

root@chunqiu:~/chunqiu/docker/mount/disk1# ls -l

total 1

-rw-r----- 1 root root 21 May  3 08:20 rootfile

// user namespace 内

root@chunqiu:/root/chunqiu/docker/mount/disk1# ls -l

total 1

-rw-r----- 1 nobody nogroup 21 May  3 08:20 rootfile

root@chunqiu:/root/chunqiu/docker/mount/disk1# cat rootfile

cat: rootfile: Permission denied

-r 选项建立 user namespace 内外的用户映射。如果不用 -r 选项 则需手动填写 uid_map 和 gid_map,实现用户的映射。创建 user namespace 如下:

chunqiu@chunqiu:~$ unshare --user --mount /bin/bash

nobody@chunqiu:~$ id

uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)

nobody@chunqiu:~$ echo $$

14641

这里 user namespace 的用户是 nobody ,是因为未建立用户映射。修改 uid_map 和 gid_map 文件,注意写这两个文件的进程必须是该 user namespace 的父 namespace 或者子 namespace:

在父 user namespace 中写文件 uid_map,gid_map:

chunqiu@chunqiu:~$ echo '0 1002 1' > /proc/14641/uid_map

-su: echo: write error: Operation not permitted

chunqiu@chunqiu:~$ echo '0 1002 1' > /proc/14641/gid_map

-su: echo: write error: Operation not permitted

chunqiu@chunqiu:~$ ls -l /proc/14641/uid_map

-rw-r--r-- 1 chunqiu chunqiu 0 May  3 08:57 /proc/14641/uid_map

chunqiu@chunqiu:~$ ls -l /proc/14641/gid_map

-rw-r--r-- 1 chunqiu chunqiu 0 May  3 08:57 /proc/14641/gid_map

尝试写入 uid_map 和 gid_map 显示没有权限,但是这两个文件确实是属于用户 chunqiu。查看当前进程的 capability:

chunqiu@chunqiu:~$ cat /proc/$$/status | egrep 'Cap(Inh|Prm|Eff)'

CapInh: 0000000000000000

CapPrm: 0000000000000000

CapEff: 0000000000000000

查看 capability 知道当前进程没 CAP_SETUID 和 CAP_SETGID 权限,为其加上权限重新写:

chunqiu@chunqiu:~$ sudo setcap cap_setgid,cap_setuid+ep /bin/bash

chunqiu@chunqiu:~$ echo '0 1002 1' > /proc/14641/uid_map

chunqiu@chunqiu:~$ echo '0 1002 1' > /proc/14641/gid_map

在子 user namespace 中执行 bash 查看用户:

nobody@chunqiu:~$ exec bash

root@chunqiu:~# id

uid=0(root) gid=0(root) groups=0(root)

可以看到 nobody 改成了用户 root,实现了user namespace 内外用户的映射。

有一点需要注意的是当 user namespace 和其它 namespace 混合使用时,依旧需要 root 权限。解决方案是先以普通用户身份运行 user namespace,然后在 user namespace 中以 root 身份运行其它 namespace。内核会保证 user namespace 先执行。

2. docker 容器中的 uid 和 gid

docker 默认并没有使用 user namespace,它创建的容器和宿主机是同一 user namespace。意味着,docker 并未隔离宿主机和容器的用户。

在 docker 中指定用户身份有两种方式:

  1. Dockerfile 中指定用户身份
  2. 命令行参数指定用户身份

这里介绍第二种命令行参数指定用户身份:

# docker run -d --user 9999:9999 --name chunqiu 32c400c35bc2 sleep infinity

c588d1c1487a802aad016d5b82080f675bebc3111c33b103852408c56ff9b2e9

[root@chunqiu ~ (Master)]# docker ps | grep chunqiu

c588d1c1487a    32c400c35bc2   "sleep infinity"    11 seconds ago   Up 8 seconds    chunqiu

[root@chunqiu ~ (Master)]# ps -ef | grep sleep | grep -v grep

9999     3212381 3212189  2 13:53 ?        00:00:00  /usr/bin/sleep infinity

[root@chunqiu ~ (Master)]# readlink /proc/$$/ns/user

user:[4026531837]

命令行参数中使用 --user 指定用户 id 和用户组 id。在容器外查看进程所属的用户 id 是命令行参数指定的用户 9999,进入 container 中查看用户信息:

[root@chunqiu ~ (Master)]# docker exec -it chunqiu /bin/bash

bash-5.0$ ps -ef

UID          PID    PPID  C STIME TTY          TIME CMD

9999           1       0  0 05:53 ?        00:00:00  /usr/bin/sleep infinity

9999           7       0 10 05:54 pts/0    00:00:00 /bin/bash

9999          13       7  0 05:54 pts/0    00:00:00 ps -ef

bash-5.0$ id

uid=9999 gid=9999 groups=9999

bash-5.0$ readlink /proc/$$/ns/user

user:[4026531837]

进入容器中发现 user namespace 和宿主机上 user namespace 是一样的。同时,容器使用了 PID namespace,容器外的 3212381 进程在容器是容器内 PID 为 1 的 init 进程,并且进程的所属用户是命令行参数指定的用户。

容器和宿主机共用内核,内核使用的是 uid 和 gid,而不是用户名和组名, 因此这里不指定用户名也是可以工作的。内核会将用户 9999 当作普通用户对待,建立文件查看 9999 的访问权限:

[root@chunqiu ~ (Master)]# docker exec -it chunqiu /bin/bash

bash-5.0$ ls

commonfile  chunqiufile

bash-5.0$ ls -l

total 0

-rw-rw----. 1 7779 7779 0 May  3 10:18 commonfile

-rw-rw-r--. 1 7779 7779 0 Apr 30 05:31 chunqiufile

bash-5.0$ cat chunqiufile

bash-5.0$ cat commonfile

cat: commonfile: Permission denied

bash-5.0$

将文件 commonfile 和 chunqiufile mount 到容器内,文件的所属用户和用户组改成了 7779,它是宿主机上的 chunqiu 普通用户,在这里以 id 的形式显示。发现用户只能读取 chunqiufile,因为它开放了读权限给不属于其用户组的其它用户。

2.1 kubernetes 指定 uid 和 gid 方式

在 kubernetes 中通过配置 security Context 来配置 Pod 或容器 container 的 uid 和 gid,kubernetes 默认也是不使用 user namespace 的。

如下创建 container 所属 uid 和 gid:

spec:

    securityContext:

        runAsUser: 9999

        runAsGroup: 9999

        ...

详细信息看 这里

3. docker 和 user namespace

上节说了 docker 默认不开启 user namespace,实际上 docker 已经实现了相关功能,参看 这里 进行配置使用,本文就不赘述啦~

docker 原理之 user namespace(下)的更多相关文章

  1. docker原理

    Docker原理11 Linux Namespace 11 AUFS文件系统17 重新理解Docker的各种命令18 Docker原理 Linux Namespace docker是一个容器引擎,容器 ...

  2. Docker容器的原理与实践 (下)

    欢迎访问网易云社区,了解更多网易技术产品运营经验. Docker原理分析 Docker架构 镜像原理 镜像是一个只读的容器模板,含有启动docker容器所需的文件系统结构及内容Docker以镜像和在镜 ...

  3. Docker原理:Namespace

    目录 Namespace UTS Namespae PID Namespace Mount Namespace User Namespace Network Namespace 参考 Namespac ...

  4. 一篇不一样的docker原理解析

    转自:https://zhuanlan.zhihu.com/p/22382728 https://zhuanlan.zhihu.com/p/22403015 在学习docker的过程中,我发现目前do ...

  5. Docker原理探究

    问题思考:-------------------------------------Docker浅显原理理解-------------------------------------P1. ubunt ...

  6. docker原理(转)

    转自:https://zhuanlan.zhihu.com/p/22382728 https://zhuanlan.zhihu.com/p/22403015 在学习docker的过程中,我发现目前do ...

  7. Docker原理(图解+秒懂+史上最全)

    背景:下一个视频版本,从架构师视角,尼恩为大家打造高可用.高并发中间件的原理与实操. 目标:通过视频和博客的方式,为各位潜力架构师,彻底介绍清楚架构师必须掌握的高可用.高并发环境,包括但不限于: 高可 ...

  8. docker 深入理解之namespace

    namespace 名称空间 docker容器主要通过资源隔离来实现的,应该具有的6种资源隔 namespace 的六项隔离 namespace 系统调用参数 隔离的内容 UTS CLONE_NEWU ...

  9. 如何使用不同dll的相同namespace下的相同接口

    问题: 程序里加载了2个dll,这2个dll里都声明了同样的命名空间(这个不违法),然后在这个同样的命名空间下,他俩又定义了同名的interface. 然后我程序里直接using这个命名空间,使用这个 ...

  10. docker原理与上帝进程

    做个笔记, 先水一会. 虚拟机指的是: 在软件的层面上通过模拟硬件进行的输入输出. docker原理:docker就是一个linux系统的进程, 它通过 Linux 的 namespaces 对不同的 ...

随机推荐

  1. 解决win10的wifi打不开或无法搜索到周围wifi的问题

    今天笔者遇到了一个比较奇葩的问题,就是笔记本电脑的wifi打不开了,即使打开了也是搜索不到周围的wifi的.这个问题一开始笔者没有发现,因为在暑假期间都是使用笔记本连接自己的手机热点进行上网的.然而暑 ...

  2. 2018年长沙理工大学第十三届程序设计竞赛 G 题:逃离迷宫

    题目链接:https://www.nowcoder.com/acm/contest/96/G 思路:两遍bfs,找到p到k的情况,记录时间:找到E到k的情况,记录时间.题目超时点在于输入需要用scan ...

  3. MinIO入门

    MinIO 是一种高性能.S3 兼容的对象存储. 官方资料 中国官网 代码仓库 安装和部署MinIO 单节点单硬盘部署MinIO 单节点多硬盘部署MinIO 多节点多硬盘部署 站点复制概述 管理现有的 ...

  4. ElasticSearch的简单api介绍

    1:ElasticSearch是什么? Elasticsearch 是一个分布式的免费开源搜索和分析引擎 适用于包括文本.数字.地理空间.结构化和非结构化数据等在内的所有类型的数据 Elasticse ...

  5. Golang实现JAVA虚拟机-解析class文件

    原文链接:https://gaoyubo.cn/blogs/de1bedad.html 前言 所需前置知识为:JAVA语言.JVM知识.Go笔记 对应项目:jvmgo 一.准备环境 操作系统:Wind ...

  6. 文心一言 VS 讯飞星火 VS chatgpt (51)-- 算法导论6.2 3题

    三.当元素 A[i] 比其孩子的值都大时,调用 MAX-HEAPIFY(A.i)会有什么结果? 文心一言: 当元素 A[i] 比其孩子的的值都大时,调用 MAX-HEAPIFY(A, i) 会将 A[ ...

  7. C# 查找PDF页面指定区域中的文本并替换和高亮

    对PDF文档中的内容进行查找时,可针对文档全篇内容获取查找结果,也可在PDF指定页面中的特定范围内(矩形框区域)进行查找,对获取的查找结果可执行文本高亮或替换等操作,本文将对此作相关介绍(附VB.NE ...

  8. 手绘流程图讲解spark是如何实现集群的高可用

    摘要:本文讲述spark是怎么针对master.worker.executor的异常情况做处理的. 本文分享自华为云社区<图解spark是如何实现集群的高可用>,作者:breakDawn. ...

  9. 解密GaussDB(for Influx)时序洞察

    摘要:GaussDB(for Influx)是一款基于华为自研的计算存储分离架构,兼容InfluxDB生态的云原生NoSQL时序数据库,提供一站式时序数据存储.分析.展示功能.其中时序洞察提供了针对时 ...

  10. 敏捷开发专家一席谈:云原生技术下的华为云DevOps实践之路

    摘要:听华为云DevCloud首席技术布道师徐毅讲述云原生下的DevOps实践. 本文分享自华为云社区<敏捷开发专家一席谈:云原生技术下的华为云DevOps实践之路>,作者:华为云社区精选 ...