userns

LXC - 生成された衣類設定ファイルを使用しますが、服の状態の表示は制限されません。
userns

LXC - 生成された衣類設定ファイルを使用しますが、服の状態の表示は制限されません。

私は権限のないlxcコンテナ(rootとして実行されますが、ユーザーの名前空間を使用)を使用し、次の設定を使用して衣服を利用しました。 lxc.apparmor.profile = generated lxc.apparmor.allow_nesting = 1 コンテナが実行されると、服のプロファイルが実際に作成され、システムログにロードされていることがわかります。たとえば、 Jan 15 04:00:16 localhost kernel: [1315978.637961] audit: type=1400 audit(1673776816.182:3...

Admin

実行可能ファイルまたはユーザーに対してunprivileged_userns_cloneを選択的に有効にする方法は?
userns

実行可能ファイルまたはユーザーに対してunprivileged_userns_cloneを選択的に有効にする方法は?

ただ行うよりもCLONE_NEWUSER細かい方法でアクティブにするにはどうすればよいですかkernel.unprivileged_userns_clone? 非ルートやBPFなどの新しい複雑な機能を無効にし、特定のプログラムでそれを使用することを選択的に許可して、CAP_SYS_ADMINカーネルAPI攻撃サーフェスを管理可能に保ちたいと思います。 たとえば、or suid-rootが正常に動作したいのchrome-sandboxですCLOSE_NEWUSERが、すべてのプログラムがそのような複雑なトリックを使用できるとは思わず、いくつかの承認されたプログ...

Admin

ユーザーネームスペース:特定のプログラムに対してのみフォルダをマウントする方法
userns

ユーザーネームスペース:特定のプログラムに対してのみフォルダをマウントする方法

ルートアクセスなしで非FHSシステム(NixO)でFHSシステムを偽造したいと思います。これを行うには、usernamespaceを使用してルートにいくつかのフォルダ(install /tmp/mylibtoなど)をマウントする必要があります/lib(他のソリューションは表示されません)。 残念ながら、動作する方法が見つかりません。フォローしようとしました。このチュートリアルしかし、コードをコピーすると失敗します(bashを起動することもできません)。 $ gcc userns_child_exec.c -lcap -o userns_child_exec ...

Admin

サイズ1でユーザーネームスペースを作成すると機能しますが、サイズが1より大きいと失敗する理由
userns

サイズ1でユーザーネームスペースを作成すると機能しますが、サイズが1より大きいと失敗する理由

私は許可されていないLinuxコンテナを実験しており、ミニマリストコンテナを作成するGoプログラムを作成しています。プログラムは自分自身を分岐し、プロセス内に名前空間を作成します。ただし、何らかの理由でユーザーの名前空間サイズを1より大きく設定すると、通常のユーザーとして実行すると失敗します。 cmd := exec.Command("/proc/self/exe", "run-container") cmd.SysProcAttr = &syscall.SysProcAttr{ Cloneflags: sysc...

Admin

RLIMIT_NPROCまたはユーザーの名前空間のどちらが勝ちますか?
userns

RLIMIT_NPROCまたはユーザーの名前空間のどちらが勝ちますか?

構成によっては、権限のない(ルートではない)プロセスがユーザーの名前空間を作成できます。 RLIMIT_NPROCプロセス数の制限ユーザーごと。 ユーザーの名前空間に入ると、私が望むUIDとは異なるUIDでプロセスを作成できますかRLIMIT_NPROC? ...

Admin

Pingは新しいCコンテナでは機能しません。
userns

Pingは新しいCコンテナでは機能しません。

私は最初からCで独自のLinuxコンテナを作成してきました。いくつかの場所でコードを借りて基本バージョンを提供しました。名前空間&cgroup。 基本的に私クローンみんなが一緒にする新しいプロセスclone_new*新しい名前空間を作成するためのフラグ複製プロセス。 また、以下を挿入してUIDマッピングを設定しました。0 0 1000入力するuid_mapそしてgid_map文書。確かにしたい根コンテナの内部は次のようにマップされます。根外部。 ファイルシステムの場合は、基本イメージを使用しました。緊張組み込みブート防止プログラム。 これで、...

Admin

Debian ベースの Linux
userns

Debian ベースの Linux

私のLinuxカーネルは次のように設定する必要があります。ユーザーネームスペースただし、起動後は使用が制限され、明示的に有効にする必要があります。どのsysctlを使用する必要がありますか? (この機能を有効にすると、隔離コマンドを実行できます。たとえば、次のunshare --user --map-root-user --mount-proc --pid --forkコマンドを実行できます。chrootルートである必要はありません- Linuxの非常に期待される機能です。 ) ...

Admin

ユーザーの名前空間(!= 0)内であるUIDを別のUIDにマッピングする方法は?
userns

ユーザーの名前空間(!= 0)内であるUIDを別のUIDにマッピングする方法は?

UID 1000をユーザーの名前空間(root / 0以外)内の他の一般的なUIDにマッピングするにはどうすればよいですか? 編集:興味のある方のために、https://linuxcontainers.org/lxc/manpages/man5/lxc.container.conf.5.htmllxc.init_uidこれに関連すると思われるオプションがリストされていますが、私のLXCバージョンではそれを認識しません。誰でも成功したら教えてください。 ...

Admin

UID 0がユーザーの名前空間のSUIDファイルへのハードリンクを処理しないのはなぜですか?
userns

UID 0がユーザーの名前空間のSUIDファイルへのハードリンクを処理しないのはなぜですか?

root権限(名前空間内部UID 0、外部権限なし)で実行されているユーザーの名前空間シェルについて、次のレコードを検討してください。 # cat /proc/$$/status | grep CapEff CapEff: 0000003cfdfeffff # ls -al total 8 drwxrwxrwx 2 root root 4096 Sep 16 22:09 . drwxr-xr-x 21 root root 4096 Sep 16 22:08 .. -rwSr--r-- 1 nobody nobody 0 Sep 1...

Admin

2人の他のユーザーにさまざまなサブIDを割り当てることはできますか?
userns

2人の他のユーザーにさまざまなサブIDを割り当てることはできますか?

子IDが定義されているシステムでは、異なるユーザーに同じ範囲の子ユーザーとグループIDを割り当てることは許可されていますか? 回答のソースを提供してください。 ここでのアイデアは、lxc-usernsexec権限のないユーザーアカウントの何かを活用し、LXCゲストを自動的に起動できるrootユーザーを持つことです。つまり、権限のないユーザーは、同じスレーブIDをrootとして偽装できる必要があります。 ...

Admin

LXCゲストへの接続を含む、私のホストへのすべての接続をどのようにリストしますか?
userns

LXCゲストへの接続を含む、私のホストへのすべての接続をどのようにリストしますか?

netstat試してみましたが、lsofLXCゲストへの接続を見ることができないようです。 これを達成する方法はありますか?みんなすぐにゲストが来ますか? 本質的に私を混乱させることは、私がスーパーユーザーとして実行している間にゲストのプロセスを見ることができるということです。また、veth各訪問者に対してインターフェイスが動的に作成されていることがわかります。他の方法では、表示されるプロセスで接続が表示されないのはなぜですか? ...

Admin

権限のないLXCゲストからsshdに接続できません。何をすべきか?
userns

権限のないLXCゲストからsshdに接続できません。何をすべきか?

したがって、以下を定義して、許可されていないLXCゲストを設定しました。 lxc.id_map = u 0 1000000000 10000 lxc.id_map = g 0 1000000000 10000 もちろん、これらの子UID / GID範囲を既存のユーザー(usermod --add-sub-uids ...)に割り当てます。 しかし、次のようなssh host結果が出るたびに: Read from socket failed: Connection reset by peer ただし、ゲストの内部では、sshd実行中の項目をはっき...

Admin

Linuxシステムで「仮想」ユーザー/グループIDを登録できますか?
userns

Linuxシステムで「仮想」ユーザー/グループIDを登録できますか?

実際にログインできるシステムアカウントを作成しなくても、ユーザー名をユーザーIDに関連付けるために使用できる標準化されたメカニズムはLinuxにありますか? Windows サーバーに接続し、ユーザーに UID を提供する機能を考慮すると、これが可能になります。通常、より高い範囲の数字にあります。 私に必要な/必要なのは、子IDだけで存在するグループとユーザーに意味のある名前を割り当てることです(ユーザー名)。 関連することをすることでこのことができると思います。国家安全保衛部(5)ところで手ぶらで来ました。 いくつかの背景 ホストシステム...

Admin

LXCゲストをアーカイブするときにユーザーUID / GIDマッピングを保存する方法は?
userns

LXCゲストをアーカイブするときにユーザーUID / GIDマッピングを保存する方法は?

権限のないLXCコンテナとして実行するように設定されている既存のLXCコンテナを保持したいと思います(参照)。この問題)。 すべてのファイルシステムメタデータを保存する方法お店ファイル/フォルダの所有権のUIDとGIDマッピング? 注:マッピング自体がホスト上で発生していることを認識していますが、内部的にはホストusernsの権限を持たないユーザーにマッピングされる多くのUIDとGIDがありますが、まだゲストでは他のUIDとGIDで解決されます。したがって、このエントリをファイルシステムレベルで接続状態に保つためにどのような魔法があるかにかかわらず、私は...

Admin