4

我在 Ubuntu 17.04 上。

挂载命名空间的单一非特权取消共享工作。您可以尝试使用 unshare(1) 命令:

$ unshare -m -U /bin/sh
#

但是,不允许在 unshare 中取消共享:

$ unshare -m -U /bin/sh
# unshare -m -U /bin/sh
unshare: Operation not permitted
#

这是一个基本上可以做同样事情的 C 程序:

#define _GNU_SOURCE
#include <stdio.h>
#include <sched.h>
#include <sys/mount.h>
#include <unistd.h>

int
main(int argc, char *argv[])
{
    if(unshare(CLONE_NEWUSER|CLONE_NEWNS) == -1) {
        perror("unshare");
        return -1;
    }
    if(unshare(CLONE_NEWUSER|CLONE_NEWNS) == -1) {
        perror("unshare2");
        return -1;
    }
    return 0;
}

为什么不允许?我在哪里可以找到有关此的文档?我未能在 unshare 或 clone 手册页和内核 unshare 文档中找到此信息。

是否有允许这样做的系统设置?

我想要达到的目标:

首先取消共享:我想用我自己的版本屏蔽系统上的一些二进制文件。

第二个 unshare:无特权的 chroot。

4

1 回答 1

4

我在这里有点猜测,但我认为原因是 UID 映射。为了执行它,必须满足某些条件(来自user_namespaces手册页):

   In  order  for  a process to write to the /proc/[pid]/uid_map (/proc/[pid]/gid_map) file, all of the following require‐
   ments must be met:

   1. The writing process must have the CAP_SETUID (CAP_SETGID) capability in the user namespace of the process pid.

   2. The writing process must either be in the user namespace of the process pid or be in the parent  user  namespace  of
      the process pid.

   3. The mapped user IDs (group IDs) must in turn have a mapping in the parent user namespace.

我相信发生的情况是,您第一次运行时,映射与父 UID 的映射匹配。但是,第二次没有,这使系统调用失败。

从 unshare(2) 手册页:

   EPERM  CLONE_NEWUSER was specified in flags, but either the effective user ID or the effective group ID of  the  caller
          does not have a mapping in the parent namespace (see user_namespaces(7)).
于 2017-09-11T11:34:50.140 回答