CGroup Namespace
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Um namespace de cgroup é um recurso do kernel Linux que fornece isolamento de hierarquias de cgroup para processos em execução dentro de um namespace. Cgroups, abreviação de grupos de controle, são um recurso do kernel que permite organizar processos em grupos hierárquicos para gerenciar e impor limites nos recursos do sistema como CPU, memória e I/O.
Embora os namespaces de cgroup não sejam um tipo de namespace separado como os outros que discutimos anteriormente (PID, montagem, rede, etc.), eles estão relacionados ao conceito de isolamento de namespace. Namespaces de cgroup virtualizam a visão da hierarquia de cgroup, de modo que os processos em execução dentro de um namespace de cgroup têm uma visão diferente da hierarquia em comparação com os processos em execução no host ou em outros namespaces.
Quando um novo namespace de cgroup é criado, ele começa com uma visão da hierarquia de cgroup baseada no cgroup do processo criador. Isso significa que os processos em execução no novo namespace de cgroup verão apenas um subconjunto de toda a hierarquia de cgroup, limitado à subárvore de cgroup enraizada no cgroup do processo criador.
Processos dentro de um namespace de cgroup verão seu próprio cgroup como a raiz da hierarquia. Isso significa que, da perspectiva dos processos dentro do namespace, seu próprio cgroup aparece como a raiz, e eles não podem ver ou acessar cgroups fora de sua própria subárvore.
Namespaces de cgroup não fornecem diretamente isolamento de recursos; eles apenas fornecem isolamento da visão da hierarquia de cgroup. O controle e isolamento de recursos ainda são impostos pelos subsistemas de cgroup (por exemplo, cpu, memória, etc.) em si.
For more information about CGroups check:
Ao montar uma nova instância do sistema de arquivos /proc
se você usar o parâmetro --mount-proc
, você garante que o novo namespace de montagem tenha uma visão precisa e isolada das informações do processo específicas para aquele namespace.
Além disso, você só pode entrar em outro namespace de processo se for root. E você não pode entrar em outro namespace sem um descritor apontando para ele (como /proc/self/ns/cgroup
).
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)