LWN:管理文件系统在namespace中的UID映射!

最新推荐文章于 2025-05-31 03:41:52 发布
最新推荐文章于 2025-05-31 03:41:52 发布
阅读量719 收藏 1
点赞数
CC 4.0 BY-SA版权
原文链接:https://lwn.net/Articles/812504/
探讨了在Linux系统中,通过用户命名空间实现ID-shifting的方法,包括shiftfs、shiftingbindmount以及一种新的解决方案,该方案允许更简单的ID映射,无需修改内核文件系统层代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关注了就能看到更多这么棒的文章哦~

Filesystem UID mapping for user namespaces: yet another shiftfs

By Jonathan Corbet
February 17, 2020

原文来自:https://lwn.net/Articles/812504/

一直以来都有人在建议使用一个ID-shifting virtual filesystem(ID会变化的虚拟文件系统),可以在对底层的真实文件系统发起request的时候,先对user和group ID进行重新映射(remap)。不过这个建议仅在讨论阶段,没有进入mainline。相应的有两种实现,分别是shiftfs和shifting bind mount。现在有人又提出了一种新的解决方案,这种新方法理论上来说更加简单,基本没有修改kernel的文件系统层代码。

ID-shifting filesystem主要用在user namespace,它有许多有趣的特性,其中之一就是对于namespace内部的user ID和外部的user ID会进行映射。通常的用法是能够把某个进程在此namespace内部映射为root用户、而不需要给它在namespace之外的root权限。比如可以配置一个user namespace让它内部的ID 0就对应到外部的ID 10000,这样对ID区间进行设置之后,内部的ID 20就对应到外部的10020。这样user namespace就可以实现ID shifting了。

在使用了user namespace的系统之,经常需要把它们配置成不重叠的ID区间,从而确保在多个容器(container)之间的隔离。不过,通常来说大家不喜欢这种完全的隔离。James Bottomley创建shiftfs的目的就是希望能让user namespace内部的进程可以用root权限访问某个特定的文件系统。而本文提到的Christian Brauner的patch set所针对的应用场景则是希望让多个容器(container)可以访问同一个公用的文件系统,并且可以采用相同的user ID和group ID来访问这个文件系统。这两种方法其实都是希望能对user ID和group ID进行映射,不再使用这个namespace里面它本来的ID。

shiftfs是一个虚拟文件系统,在对UID和GID进行remapping(也就是加上哪个固定偏移量)的时候,实际上是把相关的操作请求传递给底层文件系统。后来出来的bind-mount方案则不需要改动每种文件系统的代码,而是把shift行为作为mount的一个参数来指定。Brauner的方案在2019 Linux Plumbers Conference会议上有过介绍,它把shift行为变成了user namespace自己的一个属性。

Linux和其他Unix类型的系统一样,它的进程都有绑定的user ID和group ID。通常人们认为这些ID是用来控制文件访问的,其实不完全是这样。Linux在访问文件系统的时候还维护了另一组user ID和groupd ID,这组ID可以通过setfsuid()和setfsgid()系统调用来改变(当然需要有权限改变)。这个功能很少有人用,所以一般来说文件系统中用到的的user ID和group ID(后面称之为filesystem ID, FSID)都跟我们通常说的ID(normal ID)是相等的。不过这两种ID在系统最初设计的时候就是分离开的,可以不一致。

user namespace在实现的时候需要知道这些filesystem ID(FSID),不过这个信息从来没有暴露到kernel以外。Brauner的patch set就是把这些FSID明确定下来,允许他们可以映射成跟normal ID不同的值。具体来说,它会针对这个user namespace内部运行的每个进程,在/proc下面创建两个新文件(fsuid_map和fsgid_map)。这些文件就好像现有的uid_map和gid_map文件一样,可以填写需要remap的ID范围,不过相应的它们是对FSID的修改而已。

举例来说,系统管理员可以在当前系统中把container内部从0开始的100个user ID,映射到container外部的10000-10100区域,只需要在uid_map里面写一句话:

    0 10000 100

缺省情况下,这个映射动作也会影响这个namespace的FSID,不过如果我们需要对FSID进行不同的映射,例如映射到20000开始,那么系统管理员可以在fsuid_map里面写如下内容:

    0 20000 100

这种方法比以前的方案都要简单,不过实现起来还是需要一个24段的patch set。这个改动可以把所有的ID映射都记录在同一个地方,不需要特殊的文件系统来支持,也不需要特殊的mount type,肯定有人很喜欢这个方案。

不过,这种实现方式有个很大的局限:FSID mapping是全局映射,会影响一个container内部文件系统的所有操作,无论是在访问哪个哪个文件系统。shiftfs或者bind-mount方案则可以针对不同的文件系统来进行不同的映射。这个小缺点具体是不是一个问题,主要取决于人们希望怎么使用这个功能。确实有可能有些用户希望能针对不同文件系统配置不同的访问权限,不过如果真的去实现的话,应该会相当复杂。

不过,目前还没有人提及这个需求。这组patch set才刚刚走到第二版,可能有许多潜在用户还没有看到它。对ID-shifting功能来说,后面的第三版很可能会是个很好的方案啦,让我们拭目以待吧。

全文完

LWN文章遵循CC BY-SA 4.0许可协议。

欢迎分享、转载及基于现有协议再创作~

长按下面二维码关注,关注LWN深度文章以及开源社区的各种新近言论~

Linux内存管理(16):zone简介以及初始化
私房菜
07-17 1464
前面memblock初始化一文中详细分析了在内核启动之后,因为还没有进入复杂的应用场景,针对一些简单的系统初始化,也需要内存管理,而memblock 就是这样的内存管理模块。在memblock 初始化之后,对其他模块进行初始化时,对内核memory 进行映射,创建相应的页表。通过map_kernel() 映射内核映像到内核空间的虚拟地址,通过map_mem() 做物理内存的线性映射。详细看一文。在对内存完成初步映射之后,内存初始化进入阶段。在此期间,会调用。
高性能计算必备:NUMA架构在操作系统中的最佳实践
最新发布
操作系统内核探秘的博客
06-18 804
本文旨在为系统管理员、性能工程师和开发人员提供NUMA架构的全面理解及其实践应用指南。内容涵盖NUMA基础概念、性能影响因素、操作系统层面的优化策略以及实际应用案例。介绍NUMA核心概念及其重要性分析NUMA架构的工作原理探讨操作系统对NUMA的支持提供NUMA优化的最佳实践展示实际应用案例和性能对比NUMA:非统一内存访问架构,一种多处理器计算机内存设计方法节点(Node):NUMA系统中的基本单元,包含处理器核心和本地内存本地内存(Local Memory)
uidmapviz:用户名称空间uid映射可视化
04-29
uidmapviz 一个可视化uid映射的小程序 跑步 您可以使用“ go run mapviz”,也可以使用“ go build”来构建名为“ uidmapviz”的可执行文件。 您可以不带任何参数运行uidmap以显示默认uid映射(即您的第一个完整映射条目)。 如果提供文件名作为参数,则该文件名应表示容器的一组uid映射。 例如 c1 0:100000:200000 c1 / c2 0:100000:65536 代表两个容器,一个嵌套在另一个容器内。 运行uidmapviz Agains这给你 +-----------+--------------+------------+-----------------+---------------+------------+----------+ | CONTAINER | PARENT START | PARENT END | C
探索Linux命令newuidmap:用户ID映射的利器
听风的鱼鱼儿
06-21 675
在Linux系统中,用户ID(UID)和组ID(GID)是文件权限管理的基础。随着容器技术的兴起,如Docker,用户命名空间(User Namespaces)成为了一个重要的安全特性,它允许容器内的进程使用与主机系统不同的UID和GID。newuidmap命令就是在这个背景下诞生的,它允许我们在用户命名空间中设置UID映射
CentOS挂载ubuntu下NFS服务故障解决(UID Mapping)
zhrh0096的专栏
05-21 2149
一. 前提 1. 采用ubuntu 12.04作为nfs-server, 具体安装参考[1] , 更加详细的参考见文章[2] 2. centos 6.5 作为nfs-client 二. 故障及解决 1. centos mount之后发现文件夹所属用户和用户组都为“1000”, 无法修改,无法访问。 2. 原因:ubuntu的UID从1000开始, 而centos UID从500开
《自己动手写Docker》书摘之一: Linux Namespace
weixin_34318272的博客
11-25 446
Linux Namespace 介绍 我们经常听到说Docker 是一个使用了Linux Namespace 和 Cgroups 的虚拟化工具,但是什么是Linux Namespace 它在Docker内是怎么被使用的,说到这里很多人就会迷茫,下面我们就先介绍一下Linux Namespace 以及它们是如何在容器里面使用的。 概念 Linux Name...
linux有关uid权限的使用
new_abc的专栏
10-14 4742
Linuxs中与uid相关的命令或者函数主要是setuid和chown,chown用来改变一个文件的所属,setuid用来改变当前的有效uid,这样以后当我们调用open等函数打开或者读写文件是,就可以进行相应的权限判断了。 首先看下chown Chown命令也是busybox实现的,他会把用户名替换成相应的uid,最终调用chown 稍微看下chown跟uid相关的实现 可以
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions receiver=xxx@gmail.com password=xxx server=smtp.gmail.com port=587 ...
linux cpu gonvor,LWN:Linux 5.1使用TEO governor来代替cpuidle menu governor
weixin_29331115的博客
05-13 649
Improving idle behavior in tickless systemsDecember 28, 2018, This article was contributed by Marta RybczyńskaCPU处理器在实际执行代码的时候,很多时间其实是没有什么事情要做的,会在等待device和timer的中断。此时可以切换到idle mode,关掉内部大部分电路,停掉不再用的clo...
虚拟文件系统(VFS)架构解析:Linux统一文件访问的基石
操作系统内核探秘的博客
05-31 1059
在Linux系统中,我们每天都在使用ls查看文件、cat读取文本、cp复制文件——但你是否想过:为什么用同样的命令,既能访问本地硬盘的ext4分区,又能访问U盘的FAT32文件,甚至能读取网络上的NFS共享?答案就藏在Linux内核的"隐形桥梁"——虚拟文件系统(VFS, Virtual File System)中。本文将聚焦VFS的架构设计,覆盖其核心组件、工作流程及实际应用。本文将按照"从生活场景到技术原理"的思路展开:先用"超市收银台"类比引出VFS的作用;
fuse-overlayfs:overlayfs的FUSE实现
05-12
保险丝覆盖 无根容器的FUSE中的overlay + shiftfs实现。 用法: $ fuse-overlayfs -o lowerdir=lowerdir/a:lowerdir/b,upperdir=up,workdir=workdir merged 指定不同的UID / GID映射: $ fuse-overlayfs -o uidmapping=0:10:100:100:10000:2000,gidmapping=0:10:100:100:10000:2000,lowerdir=lowerdir/a:lowerdir/b,upperdir=up,workdir=workdir merged 要求: 如果您不按照下一章的说明使用静态构建,则系统需要libfuse > v3.2.1。 在Fedora上: dnf install fuse3-devel 在Ubuntu> v19
Linux - Namespace
summer_fish的专栏
11-16 2187
Linux namespaces 是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。Linux 内核出现 namespace 的一个主要目的就是实现轻量级虚拟化(容器)服务。在同一个 namespace 下的进程可以感知彼此的变化,而对外界的进程一无所知,从而达到隔离的目的。
探秘融合文件系统:fuse-overlayfs
gitblog_00060的博客
05-22 764
探秘融合文件系统:fuse-overlayfs 在开源世界中,创新不断, fuse-overlayfs 就是一个值得你了解和尝试的新星。它是一个基于FUSE(Filesystem in Userspace)的实现,专为无根容器提供了overlay + shiftfs功能。通过这个项目,你可以轻松地在没有root权限的情况下运行容器,这无疑给开发者带来了极大的便利。 项目介绍 fuse-overla...
容器底层 --- 超细节的 Namespace 机制讲解
多选参数
11-26 698
NamespaceLinux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。这种隔离机制和 chroot 很类似,chroot 是把某个目录修改为根目录,从而无法...
Linux用uid切换用户,linux – unshare –map-root-user在安装后切换到原始uid / username...
weixin_33594662的博客
05-02 375
我正在使用unshare来创建每个进程挂载,这完全正常unshare -m --map-root-user但是,在创建了我的bind-mounts之后mount --bind src dst我想将UID更改为我的原始用户,以便whoami(和其他人)像echo $USER一样回应我的用户名.但是,在chroot /之后做su – user1,我得到了su: Authentication fai...
namespaces之 User Namespace机制
ty_laurel的博客
04-27 4404
USER Namespaces 主要是对用户和用户组进行隔离。它是从Linux 3.8内核才慢慢支持的,现在有些linux发行版还不支持user namespaces(主要是因为还不完全成熟,处于对安全的担心,在编译内核时并未开启USER Namespaces,Centos 7就不支持,后边的测试基于Ubuntu 14.04).  User namespaces允许每个命名空间中User
Docker Rootless 在非特权模式下运行 Docker
cr7258的博客
12-26 5468
Docker Rootless 基本概念 Rootless 模式允许以非 root 用户身份运行 Docker 守护进程(dockerd)和容器,以缓解 Docker 守护进程和容器运行时中潜在的漏洞。Rootless 模式是在 Docker v19.03 版本作为实验性功能引入的,在 Docker v20.10 版本 GA。 Rootless 模式目前对 Cgroups 资源控制,Apparmor 安全配置,Overlay 网络,存储驱动等还有一定的限制,暂时还不能完全取代 “Rootful” Dock
彻底搞懂容器技术的基石:namespace(下)
k8s 生态
12-14 726
大家好,我是张晋涛。目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。对于容器技术而言,它实现资源层面上的限制和隔离,依赖于 Linux...
Docker入门(二)
墨言的博客
03-18 6948
Docker自启动、镜像加速、Rootless mode运行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值