PID Namespace
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ο χώρος ονομάτων PID (Process IDentifier) είναι μια δυνατότητα στον πυρήνα του Linux που παρέχει απομόνωση διαδικασιών επιτρέποντας σε μια ομάδα διαδικασιών να έχει το δικό της σύνολο μοναδικών PIDs, ξεχωριστό από τα PIDs σε άλλους χώρους ονομάτων. Αυτό είναι ιδιαίτερα χρήσιμο στην κοντεντοποίηση, όπου η απομόνωση διαδικασιών είναι απαραίτητη για την ασφάλεια και τη διαχείριση πόρων.
Όταν δημιουργείται ένας νέος χώρος ονομάτων PID, η πρώτη διαδικασία σε αυτόν τον χώρο ονομάτων ανατίθεται το PID 1. Αυτή η διαδικασία γίνεται η διαδικασία "init" του νέου χώρου ονομάτων και είναι υπεύθυνη για τη διαχείριση άλλων διαδικασιών εντός του χώρου ονομάτων. Κάθε επόμενη διαδικασία που δημιουργείται εντός του χώρου ονομάτων θα έχει ένα μοναδικό PID εντός αυτού του χώρου ονομάτων, και αυτά τα PIDs θα είναι ανεξάρτητα από τα PIDs σε άλλους χώρους ονομάτων.
Από την προοπτική μιας διαδικασίας εντός ενός χώρου ονομάτων PID, μπορεί να δει μόνο άλλες διαδικασίες στον ίδιο χώρο ονομάτων. Δεν είναι ενήμερη για διαδικασίες σε άλλους χώρους ονομάτων και δεν μπορεί να αλληλεπιδράσει μαζί τους χρησιμοποιώντας παραδοσιακά εργαλεία διαχείρισης διαδικασιών (π.χ., kill
, wait
, κ.λπ.). Αυτό παρέχει ένα επίπεδο απομόνωσης που βοηθά στην αποφυγή παρεμβολών μεταξύ διαδικασιών.
Όταν δημιουργείται μια νέα διαδικασία (π.χ., χρησιμοποιώντας την κλήση συστήματος clone()
), η διαδικασία μπορεί να ανατεθεί σε έναν νέο ή υπάρχοντα χώρο ονομάτων PID. Εάν δημιουργηθεί ένας νέος χώρος ονομάτων, η διαδικασία γίνεται η διαδικασία "init" αυτού του χώρου ονομάτων.
Ο πυρήνας διατηρεί μια χαρτογράφηση μεταξύ των PIDs στον νέο χώρο ονομάτων και των αντίστοιχων PIDs στον γονικό χώρο ονομάτων (δηλαδή, τον χώρο ονομάτων από τον οποίο δημιουργήθηκε ο νέος χώρος ονομάτων). Αυτή η χαρτογράφηση επιτρέπει στον πυρήνα να μεταφράσει τα PIDs όταν είναι απαραίτητο, όπως όταν στέλνει σήματα μεταξύ διαδικασιών σε διαφορετικούς χώρους ονομάτων.
Οι διαδικασίες εντός ενός χώρου ονομάτων PID μπορούν να βλέπουν και να αλληλεπιδρούν μόνο με άλλες διαδικασίες στον ίδιο χώρο ονομάτων. Δεν είναι ενήμερες για διαδικασίες σε άλλους χώρους ονομάτων και τα PIDs τους είναι μοναδικά εντός του χώρου ονομάτων τους.
Όταν καταστραφεί ένας χώρος ονομάτων PID (π.χ., όταν η διαδικασία "init" του χώρου ονομάτων τερματιστεί), όλες οι διαδικασίες εντός αυτού του χώρου ονομάτων τερματίζονται. Αυτό διασφαλίζει ότι όλοι οι πόροι που σχετίζονται με τον χώρο ονομάτων καθαρίζονται σωστά.
Με την τοποθέτηση μιας νέας παρουσίας του συστήματος αρχείων /proc
αν χρησιμοποιήσετε την παράμετρο --mount-proc
, διασφαλίζετε ότι η νέα mount namespace έχει μια ακριβή και απομονωμένη άποψη των πληροφοριών διαδικασίας που είναι συγκεκριμένες για αυτή τη namespace.
Σημειώστε ότι ο χρήστης root από το αρχικό (προεπιλεγμένο) PID namespace μπορεί να δει όλες τις διεργασίες, ακόμη και αυτές σε νέους PID namespaces, γι' αυτό μπορούμε να δούμε όλους τους PID namespaces.
Όταν εισέλθετε σε ένα PID namespace από το προεπιλεγμένο namespace, θα μπορείτε ακόμα να δείτε όλες τις διεργασίες. Και η διεργασία από αυτό το PID ns θα μπορεί να δει το νέο bash στο PID ns.
Επίσης, μπορείτε μόνο να εισέλθετε σε άλλη διεργασία PID namespace αν είστε root. Και δεν μπορείτε να εισέλθετε σε άλλο namespace χωρίς έναν περιγραφέα που να δείχνει σε αυτό (όπως το /proc/self/ns/pid
)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)