命名空间——用户ID(user)

Linux用户命名空间:提升容器安全性
最新推荐文章于 2025-09-09 00:58:40 发布
原创 最新推荐文章于 2025-09-09 00:58:40 发布 · 848 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #namespace #容器

命名空间——用户ID(user)

用户命名空间(User Namespace)是 Linux 中隔离用户 ID(UID)和组 ID(GID)权限的机制,它的核心价值是:让进程在命名空间“内部”拥有的权限(比如 root)与在命名空间“外部”(主机)的实际权限完全分离。这为“无根容器”(不需要主机 root 权限就能运行的容器)提供了底层支持,极大提升了容器的安全性。

一、用户命名空间的核心:“内外身份两张皮”

在没有用户命名空间时,进程的 UID/GID 是全局有效的——比如主机上的 UID=0(root)在整个系统中都拥有最高权限。

用户命名空间打破了这种全局唯一性,实现了“身份映射”:

  • 一个进程可以在命名空间内部UID=0(看起来是 root,拥有命名空间内的所有权限);
  • 但在命名空间外部(主机系统),它可能只是一个普通用户(比如 UID=1000,没有主机的 root 权限)。

这种“内外身份分离”的特性,解决了一个关键问题:既让容器内的进程获得必要的 root 权限(比如绑定 80 端口、修改系统配置),又不让它真正拥有主机的 root 权限,避免安全风险

二、关键机制:UID/GID 映射(uid_mapgid_map

用户命名空间通过“映射文件”记录内外 UID/GID 的对应关系,这些文件位于 /proc/[进程PID]/uid_map(用户ID映射)和 /proc/[进程PID]/gid_map(组ID映射)。

映射文件的格式

每个映射文件的内容是一行或多行,格式为:

内部ID  外部ID  长度
  • 内部ID:命名空间内进程看到的 UID/GID(比如容器内的 UID=0);
  • 外部ID:主机系统中实际的 UID/GID(比如主机的 UID=1000);
  • 长度:连续映射的ID数量(比如长度=1表示只映射这一个ID,长度=10表示从内部ID开始连续10个ID都映射到外部ID开始的10个ID)。
举例说明

假设某进程在用户命名空间内的 uid_map 内容为:

0  1000  1

含义是:

  • 命名空间内的 UID=0(root),映射到主机的 UID=1000(普通用户);
  • 长度=1 表示只映射这一个ID(即只有内部 UID=0 对应外部 UID=1000)。

此时,该进程在命名空间内执行 id -u 会显示 0(看起来是 root),但在主机上用 ps -ef 查看,它的真实 UID 是 1000

三、权限检查:映射如何影响实际操作?

当命名空间内的进程操作文件或资源时,内核会自动进行“映射转换”来检查权限:

  1. 进程访问文件时
    内核会把进程的“内部 UID/GID”转换为“外部 UID/GID”(通过 uid_map/gid_map),然后用外部 ID 检查权限。
    例如:内部 UID=0 映射到外部 UID=1000,当进程尝试修改一个只有 UID=1000 有权限的文件时,会被允许(因为实际用外部 ID 检查);但如果尝试修改主机上只有 root 能改的文件(比如 /etc/passwd),会被拒绝(因为外部 ID 是 1000,没有权限)。

  2. 进程查询文件属性时
    当进程通过 stat() 等系统调用获取文件的 UID/GID 时,内核会做“反向映射”——把文件的外部 ID 转换为内部 ID 后返回。
    例如:主机上属于 UID=1000 的文件,在命名空间内会被显示为 UID=0(让内部进程觉得这是“自己的文件”)。

四、未映射的 ID:溢出用户(overflow UID)

如果进程在命名空间内的 UID/GID 没有在 uid_map/gid_map 中定义(即“未映射”),内核会自动将其转换为“溢出 ID”:

  • 溢出 UID 默认为 65534(对应用户名 nobody);
  • 溢出 GID 默认为 65534(对应组名 nogroup)。

这通常发生在“刚创建用户命名空间但还没设置映射”的场景。例如:

# 在主机上查看当前用户 UID(假设是 1000)
id -u  # 输出:1000

# 创建新的用户命名空间并进入(未设置映射)
unshare -U /bin/bash

# 在命名空间内查看 UID(未映射,显示溢出 ID)
id -u  # 输出:65534(nobody)

五、安全控制:setgroups 文件

/proc/[进程PID]/setgroups 文件用于控制命名空间内是否允许调用 setgroups() 系统调用(该调用用于修改进程的附加组列表)。文件内容只有两种:

  • deny(默认):禁止在命名空间内使用 setgroups(),防止非特权用户通过修改组权限越权;
  • allow:允许使用 setgroups()(需要特殊权限)。

这个限制是为了解决用户命名空间的潜在安全问题:如果允许非特权用户随意修改组列表,可能会绕过主机的权限检查。

六、为什么用户命名空间对容器至关重要?

用户命名空间是“无根容器”(rootless container)的核心技术。传统容器需要主机 root 权限才能创建(因为要操作其他命名空间、挂载文件系统等),而用户命名空间让普通用户可以:

  1. 创建一个用户命名空间,在其中自己是 UID=0(root);
  2. 结合其他命名空间(PID、mount 等),构建一个“看起来有完整 root 权限”的容器环境;
  3. 但容器内的 root 操作会被映射到主机的普通用户权限,即使容器被攻破,也无法获取主机的 root 权限。

这极大降低了容器的安全风险,现在主流容器工具(如 Docker、Podman)都支持基于用户命名空间的无根模式。

总结

用户命名空间的核心是“UID/GID 映射”,实现了进程“内外权限分离”:

  • 内部可以是 root,拥有隔离环境内的完整权限;
  • 外部映射为普通用户,受限于主机的权限控制;
  • 这为容器提供了安全的隔离基础,尤其是无根容器的普及。

简单说,用户命名空间让进程“在自己的小世界里当管理员,在主机的大世界里做普通人”。

【云原生进阶之容器】第一章Docker核心技术1.3节——命名空间Namespace
junbaozi的专栏
12-13 1340
Linux NamespaceLinux提供的一种内核级别环境隔离的方法。很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTS、IPC、mount、PID、network、User等系统资源的隔离机制。在此机制下,这些系统资源不再是全局性的,而是属于特定的Namespace
Django学习笔记(16)——扩展Django自带User模型,实现用户注册与登录
weixin_30482383的博客
06-08 957
一,项目题目:扩展Django自带User模型,实现用户注册与登录   我们在开发一个网站的时候,无可避免的需要设计实现网站的用户系统。此时我们需要实现包括用户注册,登录,用户认证,注销,修改密码等功能。Django作为一个完美主义者的终极框架,当然也会想到用户的这些痛点,它内置了强大的用户认证系——auth,所以本文在不建立User模型的情况下实现用户的注册,登录和认证。另外对Django A...
实际用户ID,有效用户ID及设置用户ID
Summer的专栏
07-11 918
实际用户ID,有效用户ID和设置用户ID     看UNIX相关的书时经常能遇到这几个概念,但一直没有好好去理清这几个概念,以致对这几个概念一直一知半解。今天好好区分了一下这几个概念并总结如下。说白了这几个UID引出都是为了系统的权限管理。     下面分别用RUID, EUID
Linux 中的 命名空间Namespace)详解
漫谈网络
03-21 1809
Linux 命名空间是一种内核级资源隔离机制,用于将全局系统资源(如进程、网络、文件系统等)划分为独立的虚拟环境,每个命名空间内的资源对其他命名空间不可见。目前 Linux 支持。通过合理组合这些命名空间Linux 能够为进程提供高度隔离的运行环境,这是现代容器技术(如 Docker、Kubernetes)的底层基石。
突破权限边界:Linux用户命名空间如何重塑容器隔离安全
最新发布
gitblog_00679的博客
09-09 721
当你尝试在个人电脑上同时运行多个服务时,是否曾因权限冲突导致应用崩溃?当企业需要在同一台服务器上部署多个客户的容器时,如何确保数据不会相互泄露?Linux内核的用户命名空间User Namespace)正是为解决这些问题而生。本文将用通俗语言带你了解这个隐藏在容器技术背后的安全基石,读完你将能够: - 理解用户命名空间如何实现"一进程一世界"的隔离魔法 - 掌握容器权限隔离的核心原理 - 学会查...
linux命名空间
weixin_44390164的博客
08-12 1649
PID命名空间(PID Namespaces)是Linux命名空间中的一种类型,用于隔离进程ID空间。这意味着在各个PID命名空间中,进程ID是唯一且独立的。每个新的PID命名空间都有自己的PID为1的进程,该进程是命名空间内的所有其他进程的祖先。当我们创建新的PID命名空间(例如在创建新的容器时),这实际上会生成一个新的进程ID空间,其中的进程将为其当前命名空间分配一个新的、唯一的PID。同样一个进程在其父命名空间中也有一个唯一的PID。这样就允许在单系统中并行运行多个相同PID的进程,
用户id
weixin_33998125的博客
01-24 311
根账户(root):linux的大哥、大哥想做啥就做啥。系统账户:系统或程序使用的专门的账号,给系统服务的又叫服务账号。普通账户:给我们这些用户使用的账户。 ----通过cat /etc/login.defs查询 | | root | 普通用户 | 保留ID | 系统服务账户 || UID | 0 | 1000-60...
获取用户ID
技术工厂
07-07 1238
public String getIpAddr(HttpServletRequest request) {         String ip = request.getHeader("x-forwarded-for");         if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {       
SFNC —— 标准特征命名约定(一)
Liuqz2009的专栏
06-17 1607
本文档包含了 GenICam 的 “标准特性命名约定(SFNC)”,该协议为基于 GenICam 标准的设备提供了标准特性命名约定和标准行为模型。所有 GenICam 标准文档的最新发布版本都可以在EMVA 网站上的 GenICam 下载页面上找到(特别请参见 “SFNC(标准特性命名约定)” 一节)。仅使用 GenApi 就足以使相机或设备的所有功能都可以通过 GenICam API 进行访问。
subsystemctl:在WSL2中通过命名空间运行systemd的Rust工具
subsystemctl 利用此机制允许用户进入由其启动的 systemd 命名空间内部,从而运行完整的 systemd 用户实例(user session)。这意味着每个登录用户都可以拥有独立的 D-Bus 总线、PAM 会话、定时器、后台服务等高级...
【BI学习心得03-推荐系统眼中的你——用户画像】
水花的博客
11-18 2187
背景故事
关于用户信息中的ID
niceYF的博客
03-09 343
在学习开发过程中,我们习惯性把id设置成int类型,并且依次递增,但是这样有很多缺陷。比如id排序到了8,然后又把7删除了,下一个不会重新添入7,而是9。 所以最好的方式就是随机生成一段字符串序列代表用户id。 我们可以写一个工具类来随机获取一个用户id。 package com.yf.utils; import org.junit.Test; import java.util.UUID; @SuppressWarnings("all")//作用就是可以抑制所有的警告 public clas
实际用户ID、有效用户ID、有效用户ID副本(保存设置用户ID)、设置用户ID开关(设置用户ID)
江南又一春
02-27 548
最近在看《UINIX高级环境编程》,被标题所述的几个ID给整蒙圈了,今天查阅了别人的博客,对于这几个ID有了深刻一点的理解。下面我将用通俗易懂的语言来介绍这几个ID,以帮助大家理解。 实际用户ID:所谓实际用户ID,就是系统对你的标识。相当于你第一次登录系统时,系统给了你一个令牌,既然是标识,肯定每个人的令牌是不一样的。系统不认你长什么样,只要看到你的令牌他就知道是你。也就是说,每个人的用户I...
linux指定用户安装,linux – 在特定的用户命名空间配置中运行...
weixin_42221522的博客
04-30 254
问题:我试图以这种方式挂载目录作为Docker卷,在容器内创建的用户可以写入到该卷的文件中.同时,该文件应该对容器外的用户lape至少是可读的.本质上,我需要将用户UID容器用户命名空间重新映射到主机用户命名空间上的特定UID.我怎样才能做到这一点?我更喜欢以下答案:>不要涉及改变Docker守护进程的运行方式;>并允许分别为每个容器配置容器用户命名空间;>不要求重建图像;&g...
linux namespace用户,Linux Namespace命名空间)简介
weixin_39557373的博客
05-02 484
Mount Namespace隔离了一组进程所看到的文件系统挂载点的集合,因此,在不同Mount Namespace的进程看到的文件系统层次结构也不同。UTS Namespace隔离了uname()系统调用返回的两个系统标示符nodename和domainname,在容器的上下文中,UTS Namespace允许每个容器拥有自己的hostname和NIS domain name,这对于初始化和配置...
一文读懂 | Linux 网络命名空间
flynetcn的专栏
10-15 1053
1 前景回顾 1.1 Linux网络 Linux是因特网的产物, 这是无可争议的. 首先, 得感谢因特网通信, Linux的开发过程证明了一个很多人曾持有的观点是荒谬的 : 对分散在世界各地的一组程序员进行项目管理是不可能的. 第一个内核源代码版本是在十多年前通过FTP服务器提供的, 此后网络便成了数据交换的支柱, 无论是概念和代码的开发, 还是内核错误的消除, 都是如此. 内核邮件列表是个活生生的例子, 它几乎没有改变过. 每个人都能够看到最新贡献的代码, 并为促进Linux的开发提出自己的意见,.
Linux进程管理(四)命名空间
weixin_44555799的博客
10-02 1276
命名空间Linux namespace)机制为实现基于提供了很好的基础,LXC(Linux containers)就是利用这一特性实现了资源的隔离。创建的每个容器都有自己的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样,命名空间保证了容器之间互不影响。不同Container内的进程属于不同的Namespace,彼此透明,互不干扰。要创建新的Namespace,只需要在调用clone时指定相应的flag。Linux命名空间机制提供了一种的解决方案。
Linux 抽象命名空间(Abstract Namespace)详细介绍
日拱一卒,玉汝于成
04-25 1770
相比于传统的 Unix 域套接字(文件系统命名空间和临时文件命名空间),抽象命名空间具有独特的特性,使其在某些应用场景中尤为适用。总结起来,Linux 抽象命名空间是一种高效的、轻量级的、跨用户空间隔离的 Unix 域套接字类型,适用于需要快速创建和销毁、跨用户通信或避免文件系统开销的进程间通信场景。抽象命名空间不受文件系统的权限模型约束,不同用户用户组间的进程可以直接通过相同的抽象命名空间名称进行通信,无需考虑文件的所有权和权限问题。当最后一个引用该命名空间的套接字关闭后,内核会自动清理该命名空间
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值