User Namespace

Basic Information

'n gebruiker namespace is 'n Linux-kernkenmerk wat isolasie van gebruiker- en groep-ID-kaartings bied, wat elke gebruiker namespace in staat stel om sy eie stel gebruiker- en groep-ID's te hê. Hierdie isolasie stel prosesse wat in verskillende gebruiker namespaces loop in staat om verskillende voorregte en eienaarskap te hê, selfs al deel hulle dieselfde gebruiker- en groep-ID's numeries.

Gebruiker namespaces is veral nuttig in containerisering, waar elke houer sy eie onafhanklike stel gebruiker- en groep-ID's moet hê, wat beter sekuriteit en isolasie tussen houers en die gasheerstelsel moontlik maak.

How it works:

1. Wanneer 'n nuwe gebruiker namespace geskep word, begin dit met 'n leë stel gebruiker- en groep-ID-kaartings. Dit beteken dat enige proses wat in die nuwe gebruiker namespace loop, aanvanklik geen voorregte buite die namespace sal hê.

2. ID-kaartings kan gevestig word tussen die gebruiker- en groep-ID's in die nuwe namespace en dié in die ouer (of gasheer) namespace. Dit stel prosesse in die nuwe namespace in staat om voorregte en eienaarskap te hê wat ooreenstem met gebruiker- en groep-ID's in die ouer namespace. Die ID-kaartings kan egter beperk word tot spesifieke reekse en substelle van ID's, wat fynbeheer oor die voorregte wat aan prosesse in die nuwe namespace toegeken word, moontlik maak.

3. Binne 'n gebruiker namespace kan prosesse volle wortelvoorregte (UID 0) hê vir operasies binne die namespace, terwyl hulle steeds beperkte voorregte buite die namespace het. Dit stel houers in staat om met wortelagtige vermoëns binne hul eie namespace te loop sonder om volle wortelvoorregte op die gasheerstelsel te hê.

4. Prosesse kan tussen namespaces beweeg deur die setns() stelselskakel te gebruik of nuwe namespaces te skep met die unshare() of clone() stelselskakels met die CLONE_NEWUSER vlag. Wanneer 'n proses na 'n nuwe namespace beweeg of een skep, sal dit begin om die gebruiker- en groep-ID-kaartings wat met daardie namespace geassosieer is, te gebruik.

Lab:

Create different Namespaces

CLI

sudo unshare -U [--mount-proc] /bin/bash

Deur 'n nuwe instansie van die /proc lêerstelsel te monteer as jy die parameter --mount-proc gebruik, verseker jy dat die nuwe monteernaamruimte 'n akkurate en geïsoleerde siening van die prosesinligting spesifiek vir daardie naamruimte het.

Docker

docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash

Om die gebruikersnaamruimte te gebruik, moet die Docker-daemon begin word met --userns-remap=default (In ubuntu 14.04 kan dit gedoen word deur /etc/default/docker te wysig en dan sudo service docker restart uit te voer)

Kontroleer in watter naamruimte jou proses is

ls -l /proc/self/ns/user
lrwxrwxrwx 1 root root 0 Apr  4 20:57 /proc/self/ns/user -> 'user:[4026531837]'

Dit is moontlik om die gebruikerskaart vanaf die docker-container te kontroleer met:

cat /proc/self/uid_map
0          0 4294967295  --> Root is root in host
0     231072      65536  --> Root is 231072 userid in host

Of van die gasheer met:

cat /proc/<pid>/uid_map

Vind alle gebruikersname ruimtes

sudo find /proc -maxdepth 3 -type l -name user -exec readlink {} \; 2>/dev/null | sort -u
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name user -exec ls -l  {} \; 2>/dev/null | grep <ns-number>

Gaan binne 'n Gebruiker-namespace in

nsenter -U TARGET_PID --pid /bin/bash

Ook, jy kan slegs in 'n ander prosesnaamruimte ingaan as jy root is. En jy kan nie ingaan in 'n ander naamruimte sonder 'n beskrywer wat daarna verwys nie (soos /proc/self/ns/user).

Skep nuwe Gebruiker naamruimte (met kaarte)

unshare -U [--map-user=<uid>|<name>] [--map-group=<gid>|<name>] [--map-root-user] [--map-current-user]

# Container
sudo unshare -U /bin/bash
nobody@ip-172-31-28-169:/home/ubuntu$ #Check how the user is nobody

# From the host
ps -ef | grep bash # The user inside the host is still root, not nobody
root       27756   27755  0 21:11 pts/10   00:00:00 /bin/bash

Herwinning van Vermoëns

In die geval van gebruikersname ruimtes, wanneer 'n nuwe gebruikersnaam ruimte geskep word, word die proses wat in die ruimte ingaan 'n volle stel vermoëns binne daardie ruimte toegeken. Hierdie vermoëns stel die proses in staat om bevoorregte operasies uit te voer soos montage lêerstelsels, die skep van toestelle, of die verandering van eienaarskap van lêers, maar slegs binne die konteks van sy gebruikersnaam ruimte.

Byvoorbeeld, wanneer jy die CAP_SYS_ADMIN vermoë binne 'n gebruikersnaam ruimte het, kan jy operasies uitvoer wat tipies hierdie vermoë vereis, soos die montage van lêerstelsels, maar slegs binne die konteks van jou gebruikersnaam ruimte. Enige operasies wat jy met hierdie vermoë uitvoer, sal nie die gasheerstelsel of ander naam ruimtes beïnvloed nie.

# There are the syscalls that are filtered after changing User namespace with:
unshare -UmCpf  bash

Probando: 0x067 . . . Error
Probando: 0x070 . . . Error
Probando: 0x074 . . . Error
Probando: 0x09b . . . Error
Probando: 0x0a3 . . . Error
Probando: 0x0a4 . . . Error
Probando: 0x0a7 . . . Error
Probando: 0x0a8 . . . Error
Probando: 0x0aa . . . Error
Probando: 0x0ab . . . Error
Probando: 0x0af . . . Error
Probando: 0x0b0 . . . Error
Probando: 0x0f6 . . . Error
Probando: 0x12c . . . Error
Probando: 0x130 . . . Error
Probando: 0x139 . . . Error
Probando: 0x140 . . . Error
Probando: 0x141 . . . Error

hacking truuks deur PRs in te dien na die** HackTricks en HackTricks Cloud github repos.