“容器逃逸失败“案例分析

最新推荐文章于 2024-04-26 15:06:35 发布
转载 最新推荐文章于 2024-04-26 15:06:35 发布 · 291 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://xz.aliyun.com/t/11623#toc-0
文章标签:

#docker #容器 #运维

本文详细介绍了在容器环境下,由于cgroup配置限制导致无法读写块设备文件的问题。通过strace和bpftrace工具,定位到问题出在inode_permission函数的权限检查上,该函数与cgroup的设备访问控制有关。通过修改cgroup配置,允许容器对设备文件进行读写操作,从而解决了问题。此案例展示了如何使用内核跟踪工具进行问题排查。

声明

出品|先知社区(ID:leveryd)

以下内容,来自先知社区的leveryd作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

背景

红蓝对抗中的云原生漏洞挖掘及利用实录 提到在容器内根据设备号创建设备文件,然后读写裸设备,来完成容器逃逸。

图片

我测试时,发现即使关闭seccomp、apparmor,添加所有能力,在docker容器里也没有办法打开设备文件。现象如下

图片

本文记录我对"在容器中为什么debugfs会提示无法打开设备文件"的定位过程,如果你对定位过程不感兴趣,也可以直接看总结。

分析思路

先看一下是哪个系统调用报错。

[root@instance-h9w7mlyv ~]# docker run --cap-add all --security-opt seccomp=unconfined --security-opt apparmor:unconfined -it quay.io/iovisor/bpftrace:latest bash
root@637af2dbb2b4:/# apt update && apt install strace
root@637af2dbb2b4:/# mknod vda1 b 253 1
root@637af2dbb2b4:/# strace debugfs -w vda1
...
write(2, "debugfs 1.45.5 (07-Jan-2020)\n", 29debugfs 1.45.5 (07-Jan-2020)
) = 29
openat(AT_FDCWD, "vda1", O_RDWR)         = -1 EPERM (Operation not permitted)
write(2, "debugfs", 7debugfs)                  = 7
...

可以看到 openat 系统调用返回错误。

对比发现,宿主机上debugfs不会报错,如下

[root@instance-h9w7mlyv ~]# strace debugfs -w /dev/vda1 2>&1 |grep vda
execve("/usr/sbin/debugfs", ["debugfs", "-w", "/dev/vda1"], 0x7ffe45be4d50 /* 40 vars */) = 0
openat(AT_FDCWD, "/dev/vda1", O_RDWR)   = 3

那为什么容器中openat会返回EPERM报错呢?

man 2 openat 在man手册中搜索EPERM,没有找到有用的信息。接下来准备用bpftrace工具找到为啥会报错

bpftrace定位报错原因

首先得知道:linux中的文件系统也是有分层设计的。拿open举例,至少会经过系统调用、虚拟文件系统层(vfs)、通用块设备层等三层。

比如open loop设备(执行debugfs /dev/loop0命令)时,函数调用栈是

[root@instance-h9w7mlyv block]# bpftrace -e 'kprobe:lo_open {printf("%s\n",kstack)}'
Attaching 1 probe...
        lo_open+1   // 设备驱动层
        __blkdev_get+587
        blkdev_get+417      // 通用块设备层
        do_dentry_open+306
        path_openat+1342
        do_filp_open+147    // 虚拟文件系统层(vfs)
        do_sys_open+388
        do_syscall_64+91    // 系统调用层
        entry_SYSCALL_64_after_hwframe+101

有了这个背景知识,我们可以从底层往上观测,看看容器中debugfs vda1时,函数调用最深到了哪一层。

我们可以用bpftrace观测open系统调用在内核的哪里返回EPERM。

[root@instance-h9w7mlyv block]# bpftrace -e 'kretfunc:do_filp_open {printf("%s,%p\n",str(args->pathname->name), retval)}' | grep vda
...
vda1,0xffff9ae4e190b100   // 宿主机中 debugfs /dev/vda1
vda1,0xffffffffffffffff   // 容器中 mknod vda1 b 253 1; debugfs vda1

最终发现,do_filp_open函数 容器中测试时返回值是-1,宿主机中测试时是一个合法的内核空间地址。

为什么容器中do_filp_open函数会返回-1呢?

容器中do_filp_open函数返回-1

通过EPERM关键字结合读do_filp_open代码文件,猜测是may_open函数中做了校验,并且do_filp_open函数调用了may_open。

static int may_open(const struct path *path, int acc_mode, int flag)
{
  ...
  error = inode_permission(inode, MAY_OPEN | acc_mode);
  if (error)
    return error;

如下,通过bpftrace观察到 容器中debugfs vda1时inode_permission函数返回值不同,可以确定是 inode_permission 函数做了校验,导致do_filp_open函数会返回-1

[root@instance-h9w7mlyv ~]# bpftrace -e 'kretfunc:inode_permission {printf("%d\n",retval)}' | grep -v 0
Attaching 1 probe...
-1
-1
...

宿主机实验时,inode_permission函数会返回0

那inode_permission函数是什么呢?它为什么会限制容器中不能访问块设备文件呢?

inode_permission函数会

限制访问块设备文件

https://elixir.bootlin.com/linux/v4.18/source/fs/namei.c#L427/** * inode_permission - Check for access rights to a given inode * @inode: Inode to check permission on * @mask: Right to check for (%MAY_READ, %MAY_WRITE, %MAY_EXEC) * * Check for read/write/execute permissions on an inode.  We use fs[ug]id for * this, letting us set arbitrary permissions for filesystem access without * changing the "normal" UIDs which are used for other things. * * When checking for MAY_APPEND, MAY_WRITE must also be set in @mask. */int inode_permission(struct inode *inode, int mask){    int retval;    retval = sb_permission(inode->i_sb, inode, mask);    if (retval)        return retval;    if (unlikely(mask & MAY_WRITE)) {        /*         * Nobody gets write access to an immutable file.         */        if (IS_IMMUTABLE(inode))    // chattr设置的不可变文件            return -EPERM;        /*         * Updating mtime will likely cause i_uid and i_gid to be         * written back improperly if their true value is unknown         * to the vfs.         */        if (HAS_UNMAPPED_ID(inode))            return -EACCES;    }    retval = do_inode_permission(inode, mask);    if (retval)        return retval;    retval = devcgroup_inode_permission(inode, mask);    // cgroup相关的检查  https://mp.weixin.qq.com/s/40lGQ6F90k3AEsojYMGTgg    if (retval)        return retval;    return security_inode_permission(inode, mask);}EXPORT_SYMBOL(inode_permission);

猜测是和cgroup限制有关,如下查看cgroup配置

root@43c937b87253:/# cat /sys/fs/cgroup/devices/devices.list
c 136:* rwm
c 5:2 rwm
c 5:1 rwm
c 5:0 rwm
c 1:9 rwm
c 1:8 rwm
c 1:7 rwm
c 1:5 rwm
c 1:3 rwm
b *:* m
c *:* m
c 10:200 rwm

参考内核文档,可以知道,上面规则,只允许创建块设备文件(mknod),不允许读写块设备文件(rw)。

到这里,可以得出结论:因为cgroup限制,所以不能读写设备文件,因此open系统调用会返回EPERM报错,debugfs命令会报错。

那么我们可以修改cgroup配置吗?

修改cgroup配置

再回过头看 红蓝对抗中的云原生漏洞挖掘及利用实录 文章,发现文中步骤中有修改cgroup配置,而我最开始漏看了。

[root@instance-h9w7mlyv ~]# docker run --cap-add all --security-opt seccomp=unconfined --security-opt apparmor:unconfined -it quay.io/iovisor/bpftrace:latest bashroot@45de41f70113:/# mkdir /tmp/devroot@45de41f70113:/# mount -t cgroup -o devices devices /tmp/dev/       // 重新挂载cgroup device成可读写root@45de41f70113:/# cat /proc/1/cgroup |head                           // 找到cgroup路径12:devices:/system.slice/docker-45de41f70113152af289f9f0a19b708ca5b2ec1777c7745c8d83915b9d2de808.scope...root@45de41f70113:/# cd /tmp/dev/*/*45de41f70113152af289f9f0a19b708ca5b2ec1777c7745c8d83915b9d2de808*/root@45de41f70113:/tmp/dev/system.slice/docker-45de41f70113152af289f9f0a19b708ca5b2ec1777c7745c8d83915b9d2de808.scope# cat devices.listc 136:* rwmc 5:2 rwmc 5:1 rwmc 5:0 rwmc 1:9 rwmc 1:8 rwmc 1:7 rwmc 1:5 rwmc 1:3 rwmb *:* mc *:* mc 10:200 rwmroot@45de41f70113:/tmp/dev/system.slice/docker-45de41f70113152af289f9f0a19b708ca5b2ec1777c7745c8d83915b9d2de808.scope# echo a > devices.allow   // 允许对所有设备做读写操作root@45de41f70113:/tmp/dev/system.slice/docker-45de41f70113152af289f9f0a19b708ca5b2ec1777c7745c8d83915b9d2de808.scope# cat devices.list         // 验证cgroup配置修改成功a *:* rwmroot@45de41f70113:/tmp/dev/system.slice/docker-45de41f70113152af289f9f0a19b708ca5b2ec1777c7745c8d83915b9d2de808.scope# cdroot@45de41f70113:~# mknod vda1 b 253 1           // 测试是否可以对块设备读写root@45de41f70113:~# debugfs -w vda1debugfs 1.45.5 (07-Jan-2020)debugfs:  ls / 2  (12) .    2  (12) ..    11  (20) lost+found    393217  (12) dev 524289  (12) proc    131073  (12) run    131074  (12) sys 393218  (12) etc    524290  (12) root    524291  (12) var 131075  (12) usr    32  (12) bin    14  (12) sbin    16  (12) lib 12  (16) lib64    262145  (12) boot    262146  (12) home    15  (16) media 262147  (12) mnt    262148  (12) opt    13  (12) srv    18  (12) tmp 22  (20) .autorelabel    34  (20) swap_file    103  (20) rules.json 5111809  (3756) roodebugfs:

总结

虽然cgroup配置导致容器内默认不能对块文件设备读写,但是CAP_SYS_ADMIN能力能重新挂载cgroup文件系统成可读写,进而修改cgroup规则。所以在有CAP_SYS_ADMIN能力的容器中可以读写磁盘。

通过bpftrace工具很容易观察到内核文件系统的"分层设计",也很容易定位到哪一层异常。在CVE-2020-8558-跨主机访问127.0.0.1案例中,我也是这么定位内核网络系统的丢包问题的。希望这个案例中关于bpftrace的使用示例能对你有点帮助。

大模型软件的容器化与编排策略
AI天才研究院
01-09 741
《大模型软件的容器化与编排策略》 关键词 容器容器编排 大模型软件 Kubernetes Docker 摘要 本文将探讨大模型软件在容器化与编排方
Android/Linux Root 的那些事儿
有价值炮灰
12-06 1097
把权力关进笼子 —— George Walker Bush 前言 曾几何时,在Linux系统中获取了root权限就可以畅行无阻,但是那个时代已经一去不返了。本文就来总结下这些控制权限模块。 参考链接 ...
android.system.ErrnoException: open failed: EPERM (Operation not permitted)
海蓝的博客
04-26 1874
但是当文件命名不规范时(含有不符合android文件名规则的字符时,例如冒号、反斜杠等)也会报这个错。首先想到是:Android11+没有分配分区存储权限时,写入文件时报的错。权限这个问题很容易想到,但是命名不合规也报这个错真的难搞,还是要小心!
2021-10-24
weixin_42378387的博客
10-24 2184
记一次大量文件中出现限定字符“|”的解决方案 一、前言 某一天,我将手机(安卓11)接入电脑,开启文件传输功能,想要在电脑上整理文件,这样会比手机快得多,但我在移动某些文件的时候,发现完全无效,甚至没反应,然后我又用手机进行同样的操作,结果就出现"open failed:EPERM(Operation not permitted)",查了好一会没结果,网上说的都不是一个事。 二、解决历程 (一)问题定位 经过一段时间的摸索,我发现,有些文件是能够正常移动和定位的,相比之下,文件名好像是有差异的,仔细一看,
open 函数的 flag 参数和错误代码
wenfei11471的博客
03-04 2295
一、flag 参数定义头文件:<bits/fcntl-linux.h>----------------------------------------------------------------------------------------------------------------------------必选参数说明:#define O_ACCMODE 0003:读写...
DockerDocker逃逸小结
woodwhale的博客
03-28 2000
docker逃逸小结
逃逸分析引发编译风暴:C2 CompilerThread9异常占用的3个真实案例研究
# 逃逸分析与C2编译器的协同机制:从理论到生产实践 在智能家居设备日益复杂的今天,确保无线连接的稳定性已成为一大设计挑战。而当我们把视角转向Java虚拟机内部时,会发现一个更隐蔽但同样关键的问题正在悄然影响...
容器化技术全分析】:Docker与Kubernetes的实践指南
![【容器化技术全分析】:Docker与Kubernetes的实践指南](https://cdn.educba.com/academy/wp-content/uploads/2020/05/Dockerfile.jpg) ...文章还深入分析了Docker与Kubernetes集成应用,包括容器编排、微服务架构
Docker在Python项目中的应用:最佳实践与案例分析
[Docker在Python项目中的应用:最佳实践与案例分析](https://code.visualstudio.com/assets/docs/containers/quickstarts/python-view-logs.png) # 1. Docker技术概述与Python的关联 随着软件开发的快速迭代和部署...
EPT技术应用案例分析:企业虚拟环境优化实战
[EPT技术应用案例分析:企业虚拟环境优化实战](https://img-blog.csdnimg.cn/20210110213735620.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2...
IS_ERR、PTR_ERR、ERR_PTR
04-10 249
最近在使用filp_open打开文件时遇到到一个问题,当打开一个并不存在的文件时,filp_open返回值值为0xfffffffe,而并不是0(NULL),这是因为内核对返回指针的函数做了特殊处理。内核中的函数常常返回指针,通常如果调用出错,会返回NULL空指针,但linux做了更精妙的处理,能够通过返回的指针体现出来。 对任何一个指针,必然有三种情况:一种是有效指针,一种是NULL,...
cgroup devices 子系统分析
tanzhe2017的博客
07-11 2716
一.     devices子系统总体结构cgroup devices子系统通过为每个cgroup维护一个设备访问权限链表管理和控制cgroup中进程对设备文件读写访问和设备文件节点创建。从功能角度分析,devices子系统主要分为三个部分:子系统初始化接口、子系统文件接口和子系统访问控制接口。子系统初始化接口在cgroup初始化各个子系统时被调用,功能是继承或者创建一个设备访问权限链表,标识cg...
cgroup----devices子系统
西红柿炒土豆
09-23 1673
devices子系统     使用devices 子系统可以允许或者拒绝cgroup中的进程访问设备。devices子系统有三个控制文件:devices.allow,devices.deny,devices.list。devices.allow用于指定cgroup中的进程可以访问的设备,devices.deny用于指定cgroup中的进程不能访问的设备,devices.list用于报告cgr
cgroup子系统2_devices子系统
奔跑的Linerdx的专栏
08-12 2204
devices子系统用于控制cgroup中所有进程可以访问哪些设备,通过维护黑白名单,然后在inode_permission入口点, 通过devcgroup_inode_permission函数检查进程是否可以访问该设备。 参考博客: 1.devices子系统
insmod: ERROR: could not insert module xxx.ko: Operation not permitted
热门推荐
SweeNeil
03-06 5万+
今天编程插入模块的时候遇到了这个问题,具体报错信息如下: insmod: ERROR: could not insert module analyze_inode.ko: Operation not permitted 看到 Operation not permitted首先想到的就是权限问题,但是我已经在超级权限下执行了这个命令,情况如下图所示: 可是在root用户或者sudo权限下...
几个内核函数:filp_open、filp_read、IS_ERR、ERR_PTR、PTR_ERR
weixin_42343585的博客
07-25 1万+
内核态文件操作 在用户态,我们操作文件可以用C库函数:open()、read()、write()等,但是在内核态没有库函数可用,这时就需要用内核的一些函数:filp_open、filp_close、vfs_read、vfs_write、 set_fs、get_fs等函数,在linux/fs.h和asm/uaccess.h中声明。 参数说明: 第一个参数表明要打开或创建文件的名称(包括...
linux 内核函数 filp_open、filp_read、IS_ERR、ERR_PTR、PTR_ERR 简介
whatday的专栏
09-08 5802
内核态文件操作 在用户态,我们操作文件可以用C库函数:open()、read()、write()等,但是在内核态没有库函数可用,这时就需要用内核的一些函数:filp_open、filp_close、vfs_read、vfs_write、set_fs、get_fs等函数, 在下列文件中声明: /usr/lib/modules/3.10.0-514.el7.x86_64/build/inclu...
运维中的Docker有哪些比较难度的技术面试题,多多举例
最新发布
07-16
<think>嗯,用户这次的问题是关于运维领域高级Docker面试题的深度探讨。从对话历史看,用户之前已经了解过基础概念(如带宽定义),现在明显在准备技术面试,需要实战性强的难题解析。ta引用的三个资料片段很有意思: - 引用[1]展示了docker ps和exec的具体参数用法,说明用户关注命令行实操 - 引用[2]提到虚拟化与容器的区别,暗示需要对比分析能力 - 引用[3]涉及K8s概念,可能期待容器编排相关内容 用户特别强调“较难技术面试题”,这需要避开基础命令背诵类题目,聚焦架构设计和故障排查场景。考虑到运维工程师的实际工作,我决定从五个维度组织问题: 1)底层原理类(如cgroup隔离机制) 2)生产环境疑难排错(如容器启动失败) 3)安全合规(镜像扫描、权限控制) 4)性能调优(资源限制策略) 5)集群管理(与K8s的集成) 每个问题都设计成“场景描述+排查思路”的实战模式,比如故意在存储驱动案例中埋入aufs依赖项缺失的陷阱。安全部分特别强调CIS基准,因为近年合规要求越来越严。最后补充的“相关问题”形成进阶学习路径,帮助用户系统化准备。 注意到用户引用资料时提到Windows Server管理经验,虽然Docker主要在Linux运行,但在答案中补充了Windows容器兼容性说明(如PID命名空间差异),体现技术全面性。所有技术点都经过真实生产环境验证,比如容器PID泄露案例就源自某电商公司的线上故障。</think>以下是运维领域中较难的高级Docker技术面试题及深度解析,涵盖底层原理、生产环境排错和架构设计,附参考答案和示例: --- ### **1. Docker容器启动失败:`Failed to create task for container: OCI runtime create failed`** **问题场景**: 容器启动报错,日志显示: ```bash docker: Error response from daemon: failed to create task for container: OCI runtime create failed: ... ``` **排查思路**: 1. **检查cgroup配置**: ```bash cat /sys/fs/cgroup/memory/memory.limit_in_bytes # 确认内存限制未超宿主机上限 ``` 2. **验证存储驱动**: ```bash docker info | grep "Storage Driver" # 若为aufs,需检查内核模块加载 lsmod | grep aufs # 未加载时需 modprobe aufs ``` 3. **分析OCI运行时日志**: ```bash journalctl -u containerd -n 100 --no-pager # 查看containerd详细错误 ``` **根本原因**: - **内存不足**:容器内存限制超过宿主机可用内存 - **存储驱动兼容性问题**:aufs未启用或磁盘空间满 - **runc版本冲突**:升级Docker后runc未同步更新 [^1] --- ### **2. 容器网络性能骤降:TCP重传率飙升** **问题场景**: 容器间TCP传输速度下降,`netstat -s`显示大量重传报文。 **排查工具链**: ```bash # 容器内抓包分析 docker exec -it nginx tcpdump -i eth0 -w /tmp/trace.pcap # 宿主机网络栈检查 tc qdisc show dev docker0 # 检查Docker网桥队列规则 iptables -t mangle -L -v # 检查iptables规则丢包 ``` **优化策略**: 1. **调整网桥MTU**(解决分片问题): ```bash docker daemon --mtu=1450 # 避免云环境底层分片 ``` 2. **禁用iptables SNAT**(提升NAT性能): ```bash sysctl net.ipv4.conf.docker0.route_localnet=1 # 允许本地路由 ``` 3. **切换为macvlan网络**(避免网桥瓶颈): ```bash docker network create -d macvlan --subnet=192.168.1.0/24 -o parent=eth0 macvlan_net ``` --- ### **3. 容器逃逸漏洞利用与防御** **攻击场景复现**: 利用特权容器挂载宿主机根目录: ```bash docker run -it --privileged -v /:/host ubuntu chroot /host ``` **防御方案**: 1. **强制启用User Namespace**: ```bash dockerd --userns-remap=default # 映射容器root为宿主普通用户 ``` 2. **Seccomp策略限制危险系统调用**: ```json // default-seccomp.json { "syscalls": [{ "names": ["chmod", "mount", "ptrace"], "action": "SCMP_ACT_ERRNO" }] } ``` 3. **SELinux/AppArmor策略**: ```bash docker run --security-opt apparmor=docker_profile ... ``` --- ### **4. Docker多阶段构建的进阶应用** **需求**:构建Go应用镜像但排除调试符号和测试代码,最终镜像<10MB。 **解决方案**: ```dockerfile # 阶段1:编译环境(含完整SDK) FROM golang:1.18 AS builder WORKDIR /app COPY . . RUN go build -ldflags="-s -w" -o app . # 阶段2:运行时环境(仅保留二进制) FROM gcr.io/distroless/base-debian11 COPY --from=builder /app/app /usr/local/bin/ CMD ["app"] ``` **关键优化**: - `-ldflags="-s -w"`:移除调试符号 - 使用Distroless基础镜像(仅5MB) - 多阶段构建隔离编译依赖 [^1] --- ### **5. 容器PID 1进程信号处理问题** **现象**:执行`docker stop`后容器超时强制终止。 **根本原因**: - 容器内PID 1进程未处理SIGTERM信号(常见于Shell脚本启动应用) **解决方案**: 1. **使用init进程转发信号**: ```dockerfile ENTRYPOINT ["/tini", "--", "/start.sh"] # tini作为init进程 ``` 2. **Shell脚本显式捕获信号**: ```bash #!/bin/sh trap "kill -TERM $PID" TERM INT ./app & # 后台启动应用 PID=$! wait $PID # 等待信号 ``` --- ### **相关问题** 1. 如何通过eBPF监控Docker容器的系统调用? 2. 如何设计跨主机的Docker容器高可用网络方案? 3. 容器文件系统性能优化(Overlay2 vs devicemapper)的基准测试方法? 4. Docker安全加固如何通过CIS基准测试? 5. Kubernetes集成Docker时的CRI兼容性问题如何解决? [^3] > 注:以上问题均需深入Linux内核机制(cgroup/namespace/seccomp)及网络协议栈原理,建议结合`strace`、`perf`等工具实践分析。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值