나는 권한이 없는 lxc컨테이너(루트로 실행되지만 사용자 네임스페이스를 사용함)를 사용하고 다음 구성을 사용하여 의류를 활용했습니다. lxc.apparmor.profile = generated lxc.apparmor.allow_nesting = 1 컨테이너가 실행되면 의류 프로필이 실제로 생성되어 시스템 로그에 로드되는 것을 볼 수 있습니다. 예를 들어: Jan 15 04:00:16 localhost kernel: [1315978.637961] audit: type=1400 audit(1673776...
그냥 하는 것보다 CLONE_NEWUSER더 세분화된 방식으로 활성화하려면 어떻게 해야 합니까 kernel.unprivileged_userns_clone? 비루트 또는 BPF와 같은 새로운 복잡한 기능을 비활성화하고 특정 프로그램에서 이를 사용하도록 선택적으로 허용하여 CAP_SYS_ADMIN커널 API 공격 표면을 관리 가능하게 유지하고 싶습니다. 예를 들어, or suid-root가 제대로 작동하기를 chrome-sandbox원 CLOSE_NEWUSER하지만 모든 프로그램이 그렇게 복잡한 트릭을 ...
루트 액세스 없이 FHS가 아닌 시스템(NixO)에서 FHS 시스템을 가짜로 만들고 싶습니다. 이렇게 하려면 usernamespace를 사용하여 루트에 일부 폴더(예: install /tmp/mylibto )를 마운트해야 합니다 /lib(다른 솔루션은 보이지 않습니다). 불행히도 작동시키는 방법을 찾을 수 없습니다. 따라 하려고 했습니다.이 튜토리얼, 그러나 코드를 복사하면 실패합니다(bash를 시작할 수도 없습니다). $ gcc userns_child_exec.c -lcap -o userns_chi...
저는 권한이 없는 Linux 컨테이너를 실험 중이며 미니멀리스트 컨테이너를 생성하는 Go 프로그램을 작성 중입니다. 프로그램은 자신을 분기하고 프로세스 내에 네임스페이스를 만듭니다. 그런데 어떤 이유에서인지 사용자 네임스페이스 크기를 1보다 크게 설정하면 일반 사용자로 실행할 때 실패합니다. cmd := exec.Command("/proc/self/exe", "run-container") cmd.SysProcAttr = &syscall.SysProcAttr{ Cl...
구성에 따라 권한이 없는(루트가 아닌) 프로세스가 사용자 네임스페이스를 생성할 수 있습니다. RLIMIT_NPROC프로세스 수 제한사용자당. 사용자 네임스페이스에 들어가면 내가 원하는 UID와 다른 UID로 프로세스를 생성할 수 있나요 RLIMIT_NPROC? ...
나는 처음부터 C로 나만의 Linux 컨테이너를 작성해 왔습니다. 여러 곳에서 코드를 빌려 기본 버전을 제공했습니다.네임스페이스&cgroup. 기본적으로 나는클론모두가 함께하는 새로운 프로세스clone_new*새 네임스페이스 생성을 위한 플래그복제됨프로세스. 또한 다음을 삽입하여 UID 매핑을 설정했습니다.0 0 1000입력하다uid_map그리고gid_map문서. 확실히하고 싶어뿌리컨테이너 내부는 다음과 같이 매핑됩니다.뿌리외부. 파일 시스템의 경우 기본 이미지를 사용했습니다.긴장내장부팅...
왜 이것이 작동하지 않습니까? $ unshare -rm mount --bind / /mnt mount: /mnt: wrong fs type, bad option, bad superblock on /, missing codepage or helper program, or other error. 이것들은 잘 작동합니다: $ unshare -rm mount --bind /tmp /mnt $ unshare -rm mount --bind /root /mnt $ $ uname -r # Linux...
내 Linux 커널은 다음과 같이 구성되어야 합니다.사용자 네임스페이스하지만 시작 후에는 사용이 제한되며 명시적으로 활성화해야 합니다. 어떤 sysctl을 사용해야 합니까? (이 기능을 활성화하면 검역 명령을 실행할 수 있습니다. 예를 들어 다음 unshare --user --map-root-user --mount-proc --pid --fork명령을 실행할 수 있습니다.chroot루트일 필요는 없습니다– Linux의 매우 기대되는 기능입니다. ) ...
%20%EB%82%B4%EC%97%90%EC%84%9C%20%ED%95%98%EB%82%98%EC%9D%98%20UID%EB%A5%BC%20%EB%8B%A4%EB%A5%B8%20UID%EC%97%90%20%EB%A7%A4%ED%95%91%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
UID 1000을 사용자 네임스페이스(root/0 아님) 내의 다른 일반 UID에 어떻게 매핑합니까? 편집: 관심 있는 분들을 위해,https://linuxcontainers.org/lxc/manpages/man5/lxc.container.conf.5.htmllxc.init_uid이와 관련된 것으로 보이는 옵션이 나열되어 있지만 내 LXC 버전에서는 이를 인식하지 못합니다. 누구든지 성공하게 된다면 알려주세요. ...
루트 권한(네임스페이스 내부 UID 0, 외부 권한 없음)으로 실행되는 사용자 네임스페이스 셸에 대해 다음 레코드를 고려하세요. # cat /proc/$$/status | grep CapEff CapEff: 0000003cfdfeffff # ls -al total 8 drwxrwxrwx 2 root root 4096 Sep 16 22:09 . drwxr-xr-x 21 root root 4096 Sep 16 22:08 .. -rwSr--r-- 1 nobody nobody 0 S...
하위 ID가 정의된 시스템에서 서로 다른 사용자에게 동일한 범위의 하위 사용자 및 그룹 ID를 할당하는 것이 허용됩니까? 답변의 출처를 제공해 주세요. 여기서 아이디어는 lxc-usernsexec권한이 없는 사용자 계정의 무언가를 활용하고 LXC 게스트를 자동으로 시작할 수 있는 루트 사용자를 갖는 것입니다. 즉, 권한이 없는 사용자는 동일한 슬레이브 ID를 루트로 가장할 수 있어야 합니다. ...
netstat시도해 보았지만 lsofLXC 게스트에 대한 연결을 볼 수 없는 것 같습니다. 이것을 달성할 수 있는 방법이 있습니까?모두곧 손님이 오나요? 본질적으로 나를 혼란스럽게 하는 것은 내가 슈퍼유저로 실행하는 동안 게스트의 프로세스를 볼 수 있다는 것입니다. 또한 veth각 방문자에 대해 인터페이스가 동적으로 생성되는 것을 볼 수 있습니다 . 다른 방법으로는 표시되는 프로세스에서 연결을 볼 수 없는 이유는 무엇입니까? ...
따라서 다음을 정의하여 권한 없는 LXC 게스트를 구성했습니다. lxc.id_map = u 0 1000000000 10000 lxc.id_map = g 0 1000000000 10000 물론 이러한 하위 UID/GID 범위를 기존 사용자( usermod --add-sub-uids ...)에게 할당합니다. 그러나 다음과 같은 ssh host결과가 나올 때마다: Read from socket failed: Connection reset by peer 그러나 게스트 내부에서는 sshd실행 중인...
실제로 로그인할 수 있는 시스템 계정을 만들지 않고도 사용자 이름을 사용자 ID에 연결하는 데 사용할 수 있는 표준화된 메커니즘이 Linux에 있습니까? Windows 서버에 연결하고 사용자에게 UID를 제공하는 기능을 고려하면 이것이 가능해 보입니다. 일반적으로 더 높은 범위의 숫자에 있습니다. 나에게 필요한/원하는 것은 하위 ID로만 존재하는 그룹과 사용자에게 의미 있는 이름을 할당할 수 있는 것입니다(사용자 이름). 관련된 일을 함으로써 이 일을 할 수 있다고 생각합니다.국가안전보위부(5)...
권한이 없는 LXC 컨테이너로 실행되도록 구성된 기존 LXC 컨테이너를 보관하고 싶습니다(참조).이 문제). 모든 파일 시스템 메타데이터를 저장하는 방법가게파일/폴더 소유권에 대한 UID 및 GID 매핑? 참고: 매핑 자체가 호스트에서 발생한다는 것을 알고 있지만 내부적으로는 userns호스트의 권한이 없는 사용자에게 매핑되는 많은 UID 및 GID가 있지만 여전히 게스트에서는 다른 UID 및 GID로 확인됩니다. 따라서 이 항목을 파일 시스템 수준에서 연결 상태로 유지하는 데 어떤 마법이 있든 ...