linux user namespace 和cgroup

原创 已于 2022-01-26 15:34:19 修改 · 708 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#linux #运维 #服务器
于 2020-03-02 12:06:06 首次发布
本文深入探讨了用户命名空间(user namespace)的概念,解释了它如何使普通用户权限映射为root权限,并讨论了其在子命名空间中的限制与应用。同时,文章也解析了cgroup的工作原理,包括其如何通过控制族群和层级限制进程资源访问。

user namespace

用户命名空间 提供了普通权限映射root权限的能力,但这个root权限只是在子命名空间中的虚构,需要配合其他的命名空间。本身不具有操作父命名空间真实root资源的能力。
在这里插入图片描述
这里的source主要是文件系统资源,因为硬件资源应该是通过cgroup的机制限制的。
图中有点不准确,root映射的root的子user namespace是外部的普通进程。这里的普通是指uid为0但capabilities为空,可以读写很多root创建的文件。

正常用户都需要在user ns中映射自己的用户,不映射默认uid = 65534。映射之后存在文件资源访问限制的机制,如上图。user ns提供了上层构建内核系统的能力。

chr.c

#include <unistd.h>
 int main(){
char *argv[ ]={"ls", "-al", "/etc/passwd", NULL};
char *envp[ ]={"PATH=/bin", NULL};  
int ret = chroot("./newroot");
printf("error %d \n",ret);
chdir("/");
execve("/bin/ls", argv, envp);
}

gcc chr.c -o chr

lier@lier-virtual-machine:~/qemu$ sudo chroot newroot/ /bin/ls
a.out    bin      lib      linuxrc  ns.c     sbin     usr
lier@lier-virtual-machine:~/qemu$ sudo ./chr
error 0 
ls: /etc/passwd: No such file or directory
lier@lier-virtual-machine:~/qemu$ unshare --user -r /bin/bash
root@lier-virtual-machine:~/qemu# ./chr
error 0 
ls: /etc/passwd: No such file or directory
root@lier-virtual-machine:~/qemu# exit
exit
lier@lier-virtual-machine:~/qemu$ ./chr
error -1 
-rw-r--r-- 1 root root 2287 Nov 14 10:12 /etc/passwd
lier@lier-virtual-machine:~/qemu$

可以看到,成功的利用映射的root切换根目录。命令找不到参数,因为新的目录里缺少一个参数。

小结

user命名空间应该就是基于用户账户的权限隔离方式。同一个文件在不同的命名空间读到的内容可能不同,要么就干脆不能读。某用户启动的进程启父命名空间拥有子命名空间的所有权限。主要是针对子命名空间的root账户而言,因为父命名空间中的root账户创建的内容,本层的其他账户本身不可写。

子命名空间中能不能执行可执行文件,完全取决于可执行文件可执行属性其他组的标志是否允许。

cgroup

在这里插入图片描述

cgroup 通过控制族群、层级的概念限制进程对资源的访问。

进程task_struct 和 cgroup存在多对多的概念,通过struct css_set结构联系。

每个cgroup存在susys子系统,用来描述被限制的资源。

cgroup文件系统

在这里插入图片描述
cgroup文件系统提供用户态配置cgroup内核的能力,系统默认挂载在/sys/fs/cgroup文件加下,通过mkdir建立配置项。新建目录下自动生成配置文件,与内核数据结构关联。也可以手动挂载在其他目录,用法相同。

Linux ns 1. User Namespace 详解
pwl999的博客
03-24 3932
文章目录1. 简介2. user namespace的创建2.1 原理介绍2.2 操作实例2.3 代码分析3. `uid/gid`隔离3.1 原理介绍3.2 操作实例3.3 代码分析3.2.1 map_write()3.2.2 getuid()3.2.3 stat64()3.2.4 acl_permission_check()4. `capability`隔离4.1 原理介绍4.2 操作实例4.3 代码分析4.3.1 ns_capable()4.3.2 cap_bprm_set_creds()参考文档: 1
linux命名空间及底层原理的简单释义
weixin_51460943的博客
09-18 1158
Linux命名空间Linux Namespaces)是Linux内核提供的一种隔离机制,用于将系统资源(如进程、网络、文件系统、用户等)隔离成不同的视图,使得不同的进程组在不同的命名空间中具有独立的资源视图。2、目录结构的虚拟化:文件系统命名空间通过虚拟化技术将物理文件系统的目录结构映射到逻辑上的命名空间中,使得用户可以以更直观的方式来访问管理文件目录。5、网络命名空间的父子关系:每个网络命名空间都有一个父进程,默认情况下,一个进程所属的网络命名空间是其父进程的子命名空间
linux namespace-之使用
热门推荐
shichaog的专栏
11-22 2万+
namespace命名空间-之应用                                                                                                                 shichaog@126.com 由于各种原因,用户空间命名空间的实现算是一个里程碑了,首先是历时五年最复杂命名空间之一的user命名空
Linux命名空间
123
01-18 1万+
命名空间提供了虚拟化的一种轻量级形式,使得我们可以从不同的方面来查看运行系统的全局属性。 一、基本概念 命名空间Linux namespace)是linux内核针对实现容器虚拟化映入的一个特性。我们创建的每个容器都有自己的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样,命名空间保证了容器之间互不影响。 Linux命名空间机制提供了一种资源隔离的解决方案。PID,IPC,Network等系统资源不再是全局性的,而是属于特定的NamespaceNamespace是对全局系统资源的一种封装隔离,
介绍 Linux命名空间
weixin_34041003的博客
05-02 293
介绍 Linux命名空间 背景 从Linux 2.6.24版的内核开始,Linux 就支持6种不同类型的命名空间。它们的出现,使用户创建的进程能够与系统分离得更加彻底,从而不需要使用更多的底层虚拟化技术。 CLONE_NEWIPC: 进程间通信(IPC)的命名空间,可以将 SystemV 的 IPC POSIX 的消息队列独立出来。 CL...
docker-cgroup的理解使用、namespace、微服务2026/1/22
m0_71510778的博客
02-08 1063
共享一个操作系统靠内核虚拟机强隔离但笨重,容器轻量高效但。
Linux 命名空间Namespace)实战指南:从原理到容器化应用
bread的博客
02-25 1018
本文深入解析Linux命名空间Namespace)的核心原理与七种隔离类型,并通过实战演示如何手动创建隔离环境及组合命名空间来构建一个“迷你容器”。文章揭示了Docker等容器技术实现隔离性的底层机制,帮助开发者从本质上理解容器化,并掌握利用命名空间进行高级运维问题诊断的技能。
Docker容器系列(一)Linux内核NamespaceCgroup浅析
97运维的博客
05-08 2916
Linux内核中六种Namespace解析,Cgroup各层级结构关系以及测试试验
关于linux namespace学习
最新发布
qq_50247813的博客
04-14 261
Linux命名空间是实现容器隔离的核心技术,目前主要包括6种命名空间类型:Mount(文件系统隔离)、UTS(主机名隔离)、IPC(进程通信隔离)、PID(进程ID隔离)、Network(网络资源隔离)User(用户权限隔离)。新内核还引入了Cgroup(控制组资源隔离)Time(时间视图隔离)。这些命名空间通过抽象全局资源,使容器内进程拥有独占系统资源的错觉,MountPID命名空间尤其关键,前者隔离文件系统视图,后者隔离进程ID空间。Cgroup命名空间进一步隔离资源控制组路径,增强了安全性。这种
Linux NamespaceCgroup的概念
wqfhenanxc的专栏
09-10 931
Namespace命名空间) 是 Linux 内核提供的一种资源隔离机制。它允许将系统资源分隔成多个虚拟的“空间”,每个命名空间内的进程只能访问该命名空间下的资源,而不能访问其他命名空间中的资源。通过 namespace,不同的进程可以在同一个操作系统内共享硬件资源,但又能感知到各自独立的环境。Docker 正是通过为每个容器创建一套独立的命名空间,让容器具备了类似 “独立虚拟机” 的运行环境,但无需像虚拟机那样加载完整操作系统内核(共享宿主机内核),因此更轻量。 二 Linux Cgroup 2.1 C
Linux容器核心技术之: namespace
开心就好的专栏
01-30 4679
linuxnamespace是什么 关于linuxnamespace, 官方文档是这么说的: A namespace wraps a global system resource in an abstraction that makes it appear to the processes within the namespace that they have their own isolated instance of the global resource. Changes to the glo
Linux NamespaceCgroup
heianzhiye333的博客
10-07 511
namespace 包含了Linux目前常用的6个namespace的介绍 Linux Namespace系列(01):Namespace概述 Linux Namespace系列(02):UTS namespace (CLONE_NEWUTS) Linux Namespace系列(03):IPC namespace (CLONE_NEWIPC) Linux N...
docker(4、容器3)容器的底层技术支持 cgroup namespace
二哈欢乐多的博客
03-03 371
cgroup 实现资源限额, namespace 实现资源隔离。 cgroup cgroup 全称 Control Group。Linux 操作系统通过 cgroup 可以设置进程使用 CPU、内存 IO 资源的限额 cgroup 可以在 /sys/fs/cgroup 中找到 /sys/fs/cgroup/memory/docker 内存的 cgroup 配置 /sys/fs/cgr...
Linux NameSpaceCgroup 系列学习
Zcoder`Blog
11-02 781
为了方便自己学习,我会将自己搜集的一些好的关于namespacecgroup的文章统一列在这里,后续有新的内容后将会继续更新。这几篇虽然时间有点久,但比较系统、详细,建议先阅读学习,看完后收获很大。 namespace 包含了Linux目前常用的6个namespace的介绍 Linux Namespace系列(01):Namespace概述 Linux Namespace系列(02):U...
Docker底层基石namespacecgroup
lingshengxiyou的博客
02-01 727
Docker是使用容器container的平台,容器其实只是一个隔离的进程,除此之外啥都没有。这个进程包含一些封装特性,以便主机还有其他的容器隔离开。一个容器依赖最多的是它的文件系统也就是image,image提供了容器运行的一切包括 code or binary, runtimes, dependencies, and 其他 filesystem 需要的对象。容器在Linux上本地运行,并与其他容器共享主机的内核。它运行一个独立的进程,占用的内存不比其他的filesystem多,因此它是轻量级的。
【网址收藏】linux namespacecgroup
学亮编程手记
02-01 423
namespace 包含了Linux目前常用的6个namespace的介绍 Linux Namespace系列(01):Namespace概述 Linux Namespace系列(02):UTS namespace (CLONE_NEWUTS) Linux Namespace系列(03):IPC namespace (CLONE_NEWIPC) Linux Namespace系列(04):mount namespaces (CLONE_NEWNS) Linux Namespace系列(05):pid na
docker - linux namespace
vito
11-06 515
1.概述 Linux Namespace 是kernel的一个功能,它可以隔离一系列的系统资源,当前可隔离的资源有: 类型 Namespace 类型 系统调用参数 内核版本 文件系统 Mount Namespace CLONE_NEWNS 2.4.19 主机名hostname UTS Namespace CLONE_NEWUTS ...
Linux Namespace详解:原理、类型与应用
wangzhilong1996的博客
10-28 1003
Linux Namespace是内核提供的轻量级资源隔离机制,实现了操作系统级虚拟化。它从2002年开始发展,目前包含8种类型,分别隔离文件系统、主机名、进程通信、进程ID、网络、用户权限、cgroup视图系统时间等资源。Namespace通过clone()unshare()系统调用创建,是Docker等容器技术的核心基础,能够实现高效的应用沙箱环境。虽然存在非完全虚拟化、安全性等局限,但配合cgroups等技术,Namespace仍是Linux容器生态的关键组件,为微服务隔离、网络虚拟化等场景提供支持
linux mount命名空间,Linux namespace命名空间
weixin_33479657的博客
05-07 483
namespacelinux-namespace.pngLinux系统下的namespace类型名称API中使用的标识手册隔离的资源CgroupCLONE_NEWCGROUPcgroup_namespaces(7)Cgroup root directoryIPCCLONE_NEWIPCipc_namespaces(7)System V IPC, POSIX message queuesNetwor...
【重识云原生】第六章容器6.1.5节——Docker核心技术Namespace
junbaozi的专栏
08-31 1320
Linux NamespaceLinux提供的一种内核级别环境隔离的方法。很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTS、IPC、mount、PID、network、User等系统资源的隔离机制。在此机制下,这些系统资源不再是全局性的,而是属于特定的Namespace。.........
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值