User Namespace
Grundinformationen
Ein Benutzer-Namespace ist eine Funktion des Linux-Kernels, die die Isolation von Benutzer- und Gruppen-ID-Zuordnungen bereitstellt, sodass jeder Benutzer-Namespace sein eigenes Set von Benutzer- und Gruppen-IDs haben kann. Diese Isolation ermöglicht es Prozessen, die in verschiedenen Benutzer-Namespaces ausgeführt werden, unterschiedliche Berechtigungen und Eigentum zu haben, selbst wenn sie numerisch dieselben Benutzer- und Gruppen-IDs teilen.
Benutzer-Namespaces sind besonders nützlich in der Containerisierung, wo jeder Container sein eigenes unabhängiges Set von Benutzer- und Gruppen-IDs haben sollte, was eine bessere Sicherheit und Isolation zwischen Containern und dem Host-System ermöglicht.
So funktioniert es:
Wenn ein neuer Benutzer-Namespace erstellt wird, beginnt er mit einem leeren Set von Benutzer- und Gruppen-ID-Zuordnungen. Das bedeutet, dass jeder Prozess, der im neuen Benutzer-Namespace ausgeführt wird, anfänglich keine Berechtigungen außerhalb des Namespaces hat.
ID-Zuordnungen können zwischen den Benutzer- und Gruppen-IDs im neuen Namespace und denen im übergeordneten (oder Host-)Namespace hergestellt werden. Dies ermöglicht es Prozessen im neuen Namespace, Berechtigungen und Eigentum zu haben, die den Benutzer- und Gruppen-IDs im übergeordneten Namespace entsprechen. Die ID-Zuordnungen können jedoch auf bestimmte Bereiche und Teilmengen von IDs beschränkt werden, was eine feinkörnige Kontrolle über die den Prozessen im neuen Namespace gewährten Berechtigungen ermöglicht.
Innerhalb eines Benutzer-Namespace können Prozesse volle Root-Berechtigungen (UID 0) für Operationen innerhalb des Namespaces haben, während sie außerhalb des Namespaces weiterhin eingeschränkte Berechtigungen haben. Dies ermöglicht es, Container mit root-ähnlichen Fähigkeiten innerhalb ihres eigenen Namespaces auszuführen, ohne volle Root-Berechtigungen auf dem Host-System zu haben.
Prozesse können zwischen Namespaces mit dem Systemaufruf
setns()
wechseln oder neue Namespaces mit den Systemaufrufenunshare()
oderclone()
mit demCLONE_NEWUSER
-Flag erstellen. Wenn ein Prozess zu einem neuen Namespace wechselt oder einen erstellt, beginnt er, die Benutzer- und Gruppen-ID-Zuordnungen zu verwenden, die mit diesem Namespace verbunden sind.
Labor:
Erstellen Sie verschiedene Namespaces
CLI
Durch das Einhängen einer neuen Instanz des /proc
-Dateisystems, wenn Sie den Parameter --mount-proc
verwenden, stellen Sie sicher, dass der neue Mount-Namespace eine genaue und isolierte Sicht auf die prozessspezifischen Informationen dieses Namensraums hat.
Docker
Um den Benutzernamespace zu verwenden, muss der Docker-Daemon mit --userns-remap=default
gestartet werden (In Ubuntu 14.04 kann dies durch Ändern von /etc/default/docker
und anschließendes Ausführen von sudo service docker restart
erfolgen)
Überprüfen, in welchem Namespace sich Ihr Prozess befindet
Es ist möglich, die Benutzerzuordnung aus dem Docker-Container mit folgendem Befehl zu überprüfen:
Oder vom Host mit:
Finde alle Benutzer-Namensräume
Betreten Sie einen Benutzer-Namespace
Außerdem können Sie nur in einen anderen Prozess-Namespace eintreten, wenn Sie root sind. Und Sie können nicht in einen anderen Namespace eintreten, ohne einen Deskriptor, der darauf verweist (wie /proc/self/ns/user
).
Erstellen Sie einen neuen Benutzer-Namespace (mit Zuordnungen)
Wiederherstellung von Fähigkeiten
Im Fall von Benutzer-Namensräumen gilt: Wenn ein neuer Benutzer-Namensraum erstellt wird, erhält der Prozess, der in den Namensraum eintritt, ein vollständiges Set von Fähigkeiten innerhalb dieses Namensraums. Diese Fähigkeiten ermöglichen es dem Prozess, privilegierte Operationen wie das Einhängen von Dateisystemen, das Erstellen von Geräten oder das Ändern des Eigentums von Dateien durchzuführen, jedoch nur im Kontext seines Benutzer-Namensraums.
Zum Beispiel, wenn Sie die Fähigkeit CAP_SYS_ADMIN
innerhalb eines Benutzer-Namensraums haben, können Sie Operationen durchführen, die typischerweise diese Fähigkeit erfordern, wie das Einhängen von Dateisystemen, jedoch nur im Kontext Ihres Benutzer-Namensraums. Alle Operationen, die Sie mit dieser Fähigkeit durchführen, haben keine Auswirkungen auf das Host-System oder andere Namensräume.
Daher, selbst wenn das Erhalten eines neuen Prozesses in einem neuen Benutzer-Namensraum Ihnen alle Fähigkeiten zurückgibt (CapEff: 000001ffffffffff), können Sie tatsächlich nur die verwenden, die mit dem Namensraum verbunden sind (zum Beispiel Einhängen), aber nicht jede. Daher ist dies für sich genommen nicht ausreichend, um aus einem Docker-Container zu entkommen.
Last updated