Пространства имен Linux - Linux namespaces

пространства имен
Оригинальный автор (ы)Аль Виро
Разработчики)Эрик Бидерман, Павел Емельянов, Аль Виро, Кирилл Горкунов и др.
изначальный выпуск2002; 18 лет назад (2002)
Написано вC
Операционная системаLinux
ТипПрограммное обеспечение
ЛицензияGPL и LGPL

Пространства имён являются особенностью Ядро Linux это разделяет ресурсы ядра таким образом, что один набор процессы видит один набор ресурсов, а другой набор процессов видит другой набор ресурсов. Функция работает, имея одно и то же пространство имен для набора ресурсов и процессов, но эти пространства имен относятся к разным ресурсам. Ресурсы могут находиться в нескольких местах. Примерами таких ресурсов являются идентификаторы процессов, имена хостов, идентификаторы пользователей, имена файлов и некоторые имена, связанные с доступом к сети, и межпроцессного взаимодействия.

Пространства имен - фундаментальный аспект контейнеры в Linux.

Термин «пространство имен» часто используется для типа пространства имен (например, ID процесса), а также для конкретного пространства имен.

Система Linux начинается с единого пространства имен каждого типа, используемого всеми процессами. Процессы могут создавать дополнительные пространства имен и присоединяться к другим пространствам имен.

История

Пространства имен Linux были вдохновлены более широкой функциональностью пространства имен, широко используемой повсюду. План 9 от Bell Labs.[1]

Пространства имен Linux возникли в 2002 году в ядре 2.4.19 с работой над типом пространства имен монтирования. Дополнительные пространства имен были добавлены начиная с 2006 г.[2] и продолжаем в будущее.

Адекватный контейнеры функциональность поддержки была завершена в версии ядра 3.8 с введением пространств имен User.[3]

Виды пространств имен

Начиная с версии ядра 5.6, существует 8 видов пространств имен. Функциональность пространства имен одинакова для всех типов: каждый процесс связан с пространством имен и может видеть или использовать только ресурсы, связанные с этим пространством имен, и потомками пространства имен, где это применимо. Таким образом, каждый процесс (или его группа процессов) может иметь уникальное представление о ресурсах. Какой ресурс изолирован, зависит от типа пространства имен, созданного для данной группы процессов.

Крепление (мнт)

Пространства имен монтирования управляют точками монтирования. После создания монтирования из текущего пространства имен монтирования копируются в новое пространство имен, но точки монтирования, созданные впоследствии, не распространяются между пространствами имен (используя общие поддеревья, можно распространять точки монтирования между пространствами имен[4]).

Флаг клонирования, используемый для создания нового пространства имен этого типа, - CLONE_NEWNS - сокращение от «NEW NameSpace». Этот термин не является описательным (поскольку он не сообщает, какое пространство имен должно быть создано), потому что пространства имен монтирования были первым типом пространств имен, и дизайнеры не ожидали, что появятся другие.

Идентификатор процесса (pid)

В PID пространство имен предоставляет процессам независимый набор идентификаторов процессов (PID) из других пространств имен. Пространства имен PID являются вложенными, то есть при создании нового процесса он будет иметь PID для каждого пространства имен от его текущего пространства имен до исходного пространства имен PID. Следовательно, исходное пространство имен PID может видеть все процессы, хотя и с разными PID, чем другие пространства имен будут видеть процессы с.

Первому процессу, созданному в пространстве имен PID, присваивается номер идентификатора процесса 1, и он получает большую часть той же специальной обработки, что и обычный в этом процесс, в первую очередь это бесхозные процессы внутри пространства имен прикреплены к нему. Это также означает, что завершение этого процесса PID 1 немедленно завершит все процессы в его пространстве имен PID и любых потомков.[5]

Сеть (нетто)

Сетевые пространства имен виртуализируют Сетевой стек. При создании сетевое пространство имен содержит только петля интерфейс.

Каждый сетевой интерфейс (физический или виртуальный) присутствует ровно в одном пространстве имен и может перемещаться между пространствами имен.

Каждое пространство имен будет иметь частный набор IP-адреса, свой таблица маршрутизации, разъем листинг, таблица отслеживания подключений, брандмауэр и другие сетевые ресурсы.

Уничтожение сетевого пространства имен уничтожает все виртуальные интерфейсы в нем и перемещает любые физические интерфейсы в нем обратно в исходное сетевое пространство имен.

Межпроцессное взаимодействие (ipc)

Пространства имен IPC изолируют процессы от SysV стиль межпроцессного взаимодействия. Это не позволяет процессам в разных пространствах имен IPC использовать, например, семейство функций SHM для установления диапазона разделяемой памяти между двумя процессами. Вместо этого каждый процесс сможет использовать одни и те же идентификаторы для общей области памяти и создать две такие разные области.

UTS

UTS (UNIX Совместное времяпровождение ) пространства имен позволяют одной системе иметь разные хозяин и доменные имена к разным процессам.

ID пользователя (пользователь)

Пространства имен пользователей - это функция, обеспечивающая как изоляцию привилегий, так и разделение идентификации пользователей между несколькими наборами процессов, доступными начиная с ядра 3.8.[6] С помощью администратора можно создать контейнер с кажущимися правами администратора без фактического предоставления повышенных привилегий пользовательским процессам. Подобно пространству имен PID, пространства имен пользователей являются вложенными, и каждое новое пространство имен пользователя считается дочерним по отношению к пространству имен пользователя, которое его создало.

Пространство имен пользователей содержит таблицу сопоставления, преобразующую идентификаторы пользователей с точки зрения контейнера в точку зрения системы. Это позволяет, например, корень Пользователь должен иметь идентификатор пользователя 0 в контейнере, но на самом деле он обрабатывается системой как идентификатор пользователя 1,400,000 для проверки владения. Аналогичная таблица используется для сопоставления идентификаторов групп и проверок владения.

Чтобы облегчить изоляцию привилегий административных действий, каждый тип пространства имен считается принадлежащим пространству имен пользователя на основе активного пространства имен пользователя на момент создания. Пользователю с административными привилегиями в соответствующем пространстве имен будет разрешено выполнять административные действия в этом другом типе пространства имен. Например, если у процесса есть административное разрешение на изменение IP-адреса сетевого интерфейса, он может это делать до тех пор, пока его собственное пространство имен пользователя совпадает с пространством имен пользователя (или предком), которому принадлежит сетевое пространство имен. Следовательно, начальное пространство имен пользователя имеет административный контроль над всеми типами пространств имен в системе.[7]

Контрольная группа (cgroup) Пространство имен

В cgroup тип пространства имен скрывает идентичность контрольная группа участником которого является процесс. Процесс в таком пространстве имен, проверяя, в какую группу управления входит какой-либо процесс, увидит путь, который фактически соответствует группе управления, установленной во время создания, скрывая ее истинное положение и идентичность группы управления. Этот тип пространства имен существует с марта 2016 года в Linux 4.6.[8][9]

Пространство имен времени

Пространство имен time позволяет процессам видеть разное системное время аналогично пространству имен UTS. Он был предложен в 2018 году и появился на Linux 5.6, выпущенном в марте 2020 года.[10]

Предлагаемые пространства имен

пространство имен syslog

Детали реализации

Ядро назначает каждому процессу символическую ссылку для каждого типа пространства имен в / proc / / ns /. Номер inode, на который указывает эта символическая ссылка, одинаков для каждого процесса в этом пространстве имен. Это однозначно идентифицирует каждое пространство имен по номеру inode, на который указывает одна из его символических ссылок.

Чтение символической ссылки через readlink возвращает строку, содержащую имя типа пространства имен и номер inode пространства имен.

Системные вызовы

Три системных вызова могут напрямую управлять пространствами имен:

  • clone, флаги, указывающие, в какое новое пространство имен следует перенести новый процесс.
  • unshare, позволяет процессу (или потоку) разъединять части своего контекста выполнения, которые в настоящее время используются совместно с другими процессами (или потоками)
  • setns, входит в пространство имен, указанное дескриптором файла.

Разрушение

Если на пространство имен больше не ссылаются, оно будет удалено, обработка содержащегося в нем ресурса зависит от типа пространства имен. На пространства имен можно ссылаться тремя способами:

  1. процессом, принадлежащим пространству имен
  2. открытым файловым дескриптором в файл пространства имен (/ proc / / ns / )
  3. привязка монтирования файла пространства имен (/ proc / / ns / )

Принятие

Различные программы-контейнеры используют пространства имен Linux в сочетании с cgroups изолировать свои процессы, в том числе Докер[11] и LXC.

Другие приложения, например Гугл Хром использовать пространства имен для изоляции собственных процессов, подверженных риску атак в Интернете.[12]

Также в утилита-Linux. Примером его использования является

РАКУШКА=/ bin / sh unshare --fork --pid chroot "${chrootdir}" "$@"

Рекомендации

  1. ^ «Использование пространств имен в плане 9». 1992. Архивировано с оригинал на 2014-09-06. Получено 2016-03-24.
  2. ^ "Дерево исходных текстов ядра Linux". kernel.org. 2016-10-02.
  3. ^ https://lwn.net/Articles/532593/
  4. ^ "Документация / файловые системы / sharedsubtree.txt". 2016-02-25. Получено 2017-03-06.
  5. ^ «Действующие пространства имен, часть 3: пространства имен PID». lwn.net. 2013-01-16.
  6. ^ https://lwn.net/Articles/532593/
  7. ^ «Действующие пространства имен, часть 5: Пространства имен пользователей». lwn.net. 2013-02-27.
  8. ^ Хео, Теджун (18 марта 2016). "[GIT PULL] поддержка пространства имен cgroup для v4.6-rc1". lkml (Список рассылки).
  9. ^ Торвальдс, Линус (2016-03-26). «Linux 4.6-rc1». lkml (Список рассылки).
  10. ^ «Наконец-то пора: в ядро ​​Linux 5.6 добавлена ​​поддержка пространства имен Time - Phoronix». www.phoronix.com. Получено 2020-03-30.
  11. ^ «Докерская безопасность». docker.com. Получено 2016-03-24.
  12. ^ "Песочница Chromium Linux". google.com. Получено 2019-12-19.

внешняя ссылка