Scroll to navigation

UNSHARE(1) Корисничке наредбе UNSHARE(1)

НАЗИВ

unshare - извршава програм у новим називним просторима

УВОД

unshare [options] [program [arguments]]

ОПИС

Наредба unshare ствара нови називни простор (као што је наведено опцијама линије наредби описаним испод) и затим извршава наведени програм. Ако програм није дат, тад се покреће „${SHELL}“ (основно: /bin/sh).

По основи, нови називни простор постоји само све док има процесе чланове. Нови називни простор се може учинити постојаним чак и када нема процеса чланова тако што ћете повезати качење „/proc/pid/ns/врста датотеке“ на путању система датотека. Називни простор који је на овај начин постао постојан може се накнадно унети са nsenter(1) чак и након окончања програма (осим ПИД називних простора где је потребан трајно покренут процес покретања). Једном када трајни називни простор више није потребан, може се опозвати коришћењем umount(8) за уклањање повезаног качења. Погледајте одељак ПРИМЕРИ за више о томе.

unshare since util-linux version 2.36 uses /proc/[pid]/ns/pid_for_children and /proc/[pid]/ns/time_for_children files for persistent PID and TIME namespaces. This change requires Linux kernel 4.17 or newer.

Следеће врсте називних простора се могу направити са unshare:

mount namespace

Качење и откачињање система датотека неће деловати на остатак система, изузев за системе датотека који су изричито означени као дељени (са mount --make-shared; видите /proc/self/mountinfo или findmnt -o+ПРОСТИРАЊЕ за опције shared). За више о томе, видите mount_namespaces(7).

unshare since util-linux version 2.27 automatically sets propagation to private in a new mount namespace to make sure that the new namespace is really unshared. It’s possible to disable this feature with option --propagation unchanged. Note that private is the kernel default.

UTS namespace

Постављање назива домаћина или назива домена неће утицати на остатак система. За више о томе, видите uts_namespaces(7).

IPC namespace

Процес ће имати независтан називни простор за редове POSIX порука као и за редове порука System V, поставке семафора и сегменте дељене меморије. За више о томе, видите ipc_namespaces(7).

network namespace

Процес ће имати независне IPv4 и IPv6 спремнике, табеле IP рутине, правила мрежне баријере, сзабла /proc/net и /sys/class/net директоријума, прикључница, итд. За више о томе, видите network_namespaces(7).

PID namespace

Пород ће имати посебан скуп мапирања ПИД-у-процес од свог родитеља. За више детаља, погледајте pid_namespaces(7).

cgroup namespace

Процес ће имати виртуелизовани преглед /proc/self/cgroup-е, а нова „cgroup“ качења биће укорењена у „cgroup“ корен називног простора. За више о томе, видите cgroup_namespaces(7).

user namespace

Процес ће имати различити скуп УИД-ова, ГИД-ова и могућности. За више о томе, видите user_namespaces(7).

time namespace

Процес може имати другачији преглед CLOCK_MONOTONIC-а и/или CLOCK_BOOTTIME-а који се могу изменити коришћењем /proc/self/timens_offsets. За више о томе, видите time_namespaces(7).

ОПЦИЈЕ

-i, --ipc[=датотека]

Ствара нови „IPC“ називни простор. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци.

-m, --mount[=датотека]

Ствара нови називни простор качења. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци. Знајте да датотека мора да се налази на качењу чија врста простирања није дељена (или је резултат грешке). Користите наредбу findmnt -o+ПРОСТИРАЊЕ када нисте сигурни у тренутну поставку. Погледајте и примере у наставку.

-n, --net[=датотека]

Ствара нови називни простор мреже. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци.

-p, --pid[=датотека]

Ствара нови називни простор ПИД-а. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци. (Стварање трајног ПИД називног простора неће успети ако се и --fork опција такође не наведе.)

Видите такође опцију --fork и --mount-proc.

-u, --uts[=датотека]

Ствара нови простор времена УТС-а. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци

-U, --user[=датотека]

Ствара нови називни простор корисника. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци

-C, --cgroup[=датотека]

Ствара нови „cgroup“ називни простор. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци.

-T, --time[=датотека]

Ствара нови називни простор времена. Ако је датотека наведена, тада се називни простор чини трајним стварањем свезе качења на датотеци. Опције --monotonic и --boottime се могу користити за навођење одговарајућег помераја у временском називном простору.

-f, --fork

Клонира наведени програм као подређени процес unshare-а уместо да га покрене непосредно. Ово је корисно када правите нови ПИД називни простор. Знајте да када unshare чека на процес порода, тада занемарује SIGINT и SIGTERM и не прослеђује никакве сигнале породу. Неопходно је слати сигнале процесу порода.

--keep-caps

Када је опција --user дата, осигурава да су могућности гарантоване у корисничком називном простору очуване у проистеклом процесу.

--kill-child[=назив-сигнала]

Када се unshare оконча, чини да се назив-сигнала пошаље клонираном процесу порода. У комбинацији са --pid ово омогућава лако и поуздано убијање читавог стабла процеса испод unshare. Ако није дато, назив-сигнала се по основи пребацује на SIGKILL. Ова опција подразумева --fork.

--mount-proc[=тачка-качења]

Непосредно пре покретања програма, качи „proc“ систем датотека на тачку-качења (основно је /proc). Ово је корисно када правите нови називни простор ПИД-а. Такође подразумева стварање новог називног простора качења јер би /proc качење иначе покварило постојеће програме на систему. Нови „proc“ систем датотека је изричито прикачен као приватни (са MS_PRIVATE|MS_REC).

--map-user=уид|назив

Покреће програм само након што је текући ефективни ИД корисника мапиран на уид. Ако је ова опција наведена више пута, последње појављивање има предност. Ова опција подразумева --user.

--map-users=inneruid:outeruid:count|auto|all

Run the program only after the block of user IDs of size count beginning at outeruid has been mapped to the block of user IDs beginning at inneruid. This mapping is created with newuidmap(1) if unshare was run unprivileged. If the range of user IDs overlaps with the mapping specified by --map-user, then a "hole" will be removed from the mapping. This may result in the highest user ID of the mapping not being mapped. Use --map-users multiple times to map more than one block of user IDs. The special value auto will map the first block of user IDs owned by the effective user from /etc/subuid to a block starting at user ID 0. The special value all will create a pass-through map for every user ID available in the parent namespace. This option implies --user.

Пре „util-linux“ издања 2.39, ова опција је очекивала аргумент раздвојен зарезима у облику outeruid,inneruid,count, али је тај формат сада застарео због доследности са редоследом који се користи у /proc/[пид]/уид_мап и X-mount.idmap опција качења.

--map-group=гид|назив

Покреће програм само након што је текући ефективни ИД корисника мапиран на гид. Ако је ова опција наведена више пута, последње појављивање има предност. Ова опција подразумева --setgroups=deny и --user.

--map-groups=innergid:outergid:count|auto|all

Run the program only after the block of group IDs of size count beginning at outergid has been mapped to the block of group IDs beginning at innergid. This mapping is created with newgidmap(1) if unshare was run unprivileged. If the range of group IDs overlaps with the mapping specified by --map-group, then a "hole" will be removed from the mapping. This may result in the highest group ID of the mapping not being mapped. Use --map-groups multiple times to map more than one block of group IDs. The special value auto will map the first block of user IDs owned by the effective user from /etc/subgid to a block starting at group ID 0. The special value all will create a pass-through map for every group ID available in the parent namespace. This option implies --user.

Пре „util-linux“ издања 2.39, ова опција је очекивала аргумент раздвојен зарезима у облику outergid,innergid,count, али је тај формат сада застарео због доследности са редоследом који се користи у /proc/[пид]/гид_мап и X-mount.idmap опцији качења.

--map-auto

Мапира први блок корисникових ИД-ова у власништву ефективног корисника из /etc/subuid на блок који почиње на корисниковом ИД-у 0. На исти начин, такође мапира први блок ИД-ова групе у власништву ефективне групе из /etc/subgid на блок који почиње на ИД-у групе 0. Ова опција је замишљена да ради са општим случајем где први блок подређених ИД-ова корисника и групе може да мапира читав простор ИД-а корисника и групе. Ова опција је еквивалент за навођење --map-users=auto и --map-groups=auto.

-r, --map-root-user

Покреће програм тек након што се тренутни стварни ИД-ови корисника и групе мапирају у УИД и ГИД суперкорисника у новоствореном корисничком називном простору. Ово омогућава пригодно добијање могућности потребних за управљање различитим аспектима новостворених наменских простора (као што је подешавање сучеља у мрежном називном простору или качење система датотека у називном простору качења) чак и када се покрену као непривилеговани. Као само функција погодности, не подржава софистицираније случајеве употребе, као што је мапирање више опсега УИД-а и ГИД-ова. Ова опција подразумева --setgroups=deny и --user. Ова опција је еквивалентна са --map-user=0 --map-group=0.

-c, --map-current-user

Покреће програм тек након што се тренутни стварни ИД-ови корисника и групе мапирају на исти УИД и ГИД у новоствореном корисничком наменском простору. Ова опција подразумева --setgroups=deny и --user. Ова опција је еквивалентна са --map-user=$(id -ru) --map-group=$(id -rg).

--propagation private|shared|slave|unchanged

Дубински поставља опцију простирања качења у новом називном простору качења. Основно је постављање простирања на private. Могуће је онемогућити ову функцију аргументом unchanged. Опција се тихо занемарује када се називни простор качења (--mount) не захтева.

--setgroups allow|deny

Допушта или забрањује setgroups(2) системски позив у корисничком називном простору.

Да би био у могућности да позове setgroups(2), процес позивања мора да има барем CAP_SETGID. Али од Линукса 3.19 примењује се још једно ограничење: кернел даје дозволу за позивање setgroups(2) само након што је ГИД мапа (/proc/пид*/гид_мапа*) постављена. У ГИД мапу може да пише администратор када је setgroups(2) омогућено (тј. allow, подразумевано), а ГИД мапа постаје уписива непривилегованим процесима када је setgroups(2) трајно онемогућено (са deny).

-R, --root=дир

извршава наредбу са кореним директоријумом постављеним на дир.

-w, --wd=дир

мења радни директоријум у дир.

-S, --setuid уиб

Поставља ИД корисника који ће се користити у унесеном називном простору.

-G, --setgid ГИБ

Поставља ИД групе који ће се користити у унесеном називном простору и одбацује додатне групе.

--monotonic померај

Поставља померај CLOCK_MONOTONIC који ће се користити у унесеном временском називном простору. Ова опција захтева поништавање дељења временског називног простора са --time.

--boottime померај

Поставља померај CLOCK_BOOTTIME који ће се користити у унесеном временском називном простору. Ова опција захтева поништавање дељења временског називног простора са --time.

-h, --help

Приказује текст помоћи и излази.

-V, --version

Исписује издање и излази.

БЕЛЕШКЕ

Системи датотека „proc“ и „sysfs“ који се каче као корени у корисничком називном простору морају бити ограничени тако да мање привилеговани корисник не може да добије већи приступ осетљивим датотекама које је привилегованији корисник учинио недоступним. Укратко, правило за „proc“ и „sysfs“ је што је могуће ближе свезивању качења.

ПРИМЕРИ

Следећа наредба ствара ПИД називни простор, користећи --fork да би се осигурало да се извршена наредба обавља у подређеном процесу који (као први процес у називном простору) има ПИД 1. Опција --mount-proc обезбеђује да се нови називни простор качења истовремено прави и да се качи нови proc(5) систем датотека који садржи информације које одговарају новом ПИД називном простору. Када се наредба readlink(1) заврши, нови називни простори се самостално руше.

# unshare --fork --pid --mount-proc readlink /proc/self
1

Као непривилеговани корисник, ствара нови кориснички називни простор где су корисничка уверења мапирана на ИД-ове корена унутар називног простора:

$ id -u; id -g
1000
1000
$ unshare --user --map-root-user \


        sh -c 'whoami; cat /proc/self/uid_map /proc/self/gid_map'
root


         0       1000          1


         0       1000          1

Као непривилеговани корисник, ствара кориснички називни простор где су првих 65536 ИД-ова сви мапирани, а креденцијали корисника су мапирани на корене ИД-ове унутар називног простора. Мапа је одређена подређеним ИД-овима додељеним у subuid(5) и subgid(5). Приказује ово мапирање стварањем датотеке са ИД-ом 1 корисника и ИД-ом 1 групе. Укратко, приказана су само мапирања ИД-а корисника:

$ id -u
1000
$ cat /etc/subuid
1000:100000:65536
$ unshare --user --map-auto --map-root-user
# id -u
0
# cat /proc/self/uid_map


         0       1000          1


         1     100000      65535
# touch file; chown 1:1 file
# ls -ln --time-style=+ file
-rw-r--r-- 1 1 1 0  file
# exit
$ ls -ln --time-style=+ file
-rw-r--r-- 1 100000 100000 0  file

Прва од следећих наредби ствара нови трајни UTS називни простор и мења назив домаћина како се види у том називном простору. Називни простор се затим уноси са nsenter(1) да би се приказао измењен назив домаћина; овај корак показује да UTS називни простор наставља да постоји иако називни простор није имао процесе чланове након што се окончала наредба unshare. Називни простор се затим уништава уклањањем свезног качења.

# touch /root/uts-ns
# unshare --uts=/root/uts-ns hostname FOO
# nsenter --uts=/root/uts-ns hostname
FOO
# umount /root/uts-ns

Следеће наредбе успостављају постојан називни простор качења на који упућује свеза качења /root/namespace/mnt. Да би се осигурало да стварање тог свезивања качења буде успешно, родитељски директоријум (/root/namespaces) је учињен свезом качења чија врста простирања није shared.

# mount --bind /root/namespaces /root/namespaces
# mount --make-private /root/namespaces
# touch /root/namespaces/mnt
# unshare --mount=/root/namespaces/mnt

Следеће наредбе показују коришћење опције --kill-child приликом стварања ПИД називног пропстора, да би се осигурало да када је unshare убијено, сви процеси у ПИД називном простору су убијени.

# set +m                # Не исписује поруке стања посла
# unshare --pid --fork --mount-proc --kill-child -- \


       bash --norc -c '(sleep 555 &) && (ps a &) && sleep 999' &
[1] 53456
#     ПИД КОНЗ     СТАЊЕ  ВРЕМЕ НАРЕДБА


      1 pts/3    S+     0:00 sleep 999


      3 pts/3    S+     0:00 sleep 555


      5 pts/3    R+     0:00 ps a
# ps h -o 'comm' $!     # Показује да је позадински посао „unshare(1)“
unshare
# kill $!               # Убија „unshare(1)“
# pidof sleep

Наредба pidof(1) не исписује никакав излаз, јер су sleep процеси убијени. Тачније, када је процес sleep који има ПИД 1 у називном простору (тј. покретачки процес називног простора) био убијен, то је довело до тога да сви остали процеси у називном простору буду убијени. Насупрот томе, слична серија наредби где се опција --kill-child не користи показује да када се unshare оконча, процеси у ПИД називном простору нису убијени:

# unshare --pid --fork --mount-proc -- \


       bash --norc -c '(sleep 555 &) && (ps a &) && sleep 999' &
[1] 53479
#     ПИД КОНЗ     СТАЊЕ  ВРЕМЕ НАРЕДБА


      1 pts/3    S+     0:00 sleep 999


      3 pts/3    S+     0:00 sleep 555


      5 pts/3    R+     0:00 ps a
# kill $!
# pidof sleep
53482 53480

Следећи пример показује стварање временског називног простора где је сат времена подизања система постављен да показује неколико година у прошлости:

# uptime -p             # Приказује „uptime“ у почетном временском називном простору
up 21 сат, 30 минута
# unshare --time --fork --boottime 300000000 uptime -p
up 9 година, 28 седмице, 1 дан, 2 сата, 50 минута

АУТОРИ

Mikhail Gusarov <dottedmag@dottedmag.net>, Karel Zak <kzak@redhat.com>

ПОГЛЕДАЈТЕ ТАКОЂЕ

newuidmap(1), newgidmap(1), clone(2), unshare(2), namespaces(7), mount(8)

ПРИЈАВЉИВАЊЕ ГРЕШАКА

За пријављивање грешака, користите пратиоца грешака на <https://github.com/util-linux/util-linux/issues>.

ДОСТУПНОСТ

Наредба unshare је део пакета „util-linux“ који се може преузети са Архиве Линукс кернела <https://www.kernel.org/pub/linux/utils/util-linux/>.

2024-04-27 util-linux 2.40