CGroup Namespace
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Un namespace cgroup è una funzionalità del kernel Linux che fornisce isolamento delle gerarchie cgroup per i processi in esecuzione all'interno di un namespace. I cgroups, abbreviazione di control groups, sono una funzionalità del kernel che consente di organizzare i processi in gruppi gerarchici per gestire e applicare limiti sulle risorse di sistema come CPU, memoria e I/O.
Sebbene i namespace cgroup non siano un tipo di namespace separato come gli altri di cui abbiamo discusso in precedenza (PID, mount, network, ecc.), sono correlati al concetto di isolamento dei namespace. I namespace cgroup virtualizzano la vista della gerarchia cgroup, in modo che i processi in esecuzione all'interno di un namespace cgroup abbiano una vista diversa della gerarchia rispetto ai processi in esecuzione nell'host o in altri namespace.
Quando viene creato un nuovo namespace cgroup, inizia con una vista della gerarchia cgroup basata sul cgroup del processo creatore. Ciò significa che i processi in esecuzione nel nuovo namespace cgroup vedranno solo un sottoinsieme dell'intera gerarchia cgroup, limitato al sottoalbero cgroup radicato nel cgroup del processo creatore.
I processi all'interno di un namespace cgroup vedranno il proprio cgroup come la radice della gerarchia. Ciò significa che, dalla prospettiva dei processi all'interno del namespace, il proprio cgroup appare come la radice, e non possono vedere o accedere ai cgroup al di fuori del proprio sottoalbero.
I namespace cgroup non forniscono direttamente isolamento delle risorse; forniscono solo isolamento della vista della gerarchia cgroup. Il controllo e l'isolamento delle risorse sono ancora applicati dai sottosistemi cgroup (ad es., cpu, memoria, ecc.) stessi.
Per ulteriori informazioni sui CGroups controlla:
CGroupsMontando una nuova istanza del filesystem /proc
se utilizzi il parametro --mount-proc
, garantisci che il nuovo namespace di mount abbia una visione accurata e isolata delle informazioni sui processi specifiche per quel namespace.
Puoi entrare in un altro namespace di processo solo se sei root. E non puoi entrare in un altro namespace senza un descrittore che punti ad esso (come /proc/self/ns/cgroup
).
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)