User Namespace

Reading time: 8 minutes

Informazioni di base

Un user namespace è una funzionalità del kernel Linux che fornisce isolamento delle mappature degli ID utente e gruppo, consentendo a ciascun user namespace di avere il proprio insieme di ID utente e gruppo. Questo isolamento consente ai processi in esecuzione in diversi user namespace di avere privilegi e proprietà diversi, anche se condividono gli stessi ID utente e gruppo numericamente.

Gli user namespace sono particolarmente utili nella containerizzazione, dove ogni container dovrebbe avere il proprio insieme indipendente di ID utente e gruppo, consentendo una migliore sicurezza e isolamento tra i container e il sistema host.

Come funziona:

1. Quando viene creato un nuovo user namespace, inizia con un insieme vuoto di mappature degli ID utente e gruppo. Ciò significa che qualsiasi processo in esecuzione nel nuovo user namespace avrà inizialmente nessun privilegio al di fuori del namespace.
2. Le mappature degli ID possono essere stabilite tra gli ID utente e gruppo nel nuovo namespace e quelli nel namespace genitore (o host). Questo consente ai processi nel nuovo namespace di avere privilegi e proprietà corrispondenti agli ID utente e gruppo nel namespace genitore. Tuttavia, le mappature degli ID possono essere limitate a intervalli e sottoinsiemi specifici di ID, consentendo un controllo dettagliato sui privilegi concessi ai processi nel nuovo namespace.
3. All'interno di un user namespace, i processi possono avere pieni privilegi di root (UID 0) per operazioni all'interno del namespace, pur avendo privilegi limitati al di fuori del namespace. Questo consente ai container di funzionare con capacità simili a quelle di root all'interno del proprio namespace senza avere pieni privilegi di root sul sistema host.
4. I processi possono spostarsi tra i namespace utilizzando la chiamata di sistema setns() o creare nuovi namespace utilizzando le chiamate di sistema unshare() o clone() con il flag CLONE_NEWUSER. Quando un processo si sposta in un nuovo namespace o ne crea uno, inizierà a utilizzare le mappature degli ID utente e gruppo associate a quel namespace.

Laboratorio:

Creare diversi Namespace

CLI

sudo unshare -U [--mount-proc] /bin/bash

Montando una nuova istanza del filesystem /proc se utilizzi il parametro --mount-proc, garantisci che il nuovo namespace di mount abbia una visione accurata e isolata delle informazioni sui processi specifiche per quel namespace.

Docker

docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash

Per utilizzare il user namespace, il daemon di Docker deve essere avviato con --userns-remap=default (In ubuntu 14.04, questo può essere fatto modificando /etc/default/docker e poi eseguendo sudo service docker restart)

Controlla in quale namespace si trova il tuo processo

ls -l /proc/self/ns/user
lrwxrwxrwx 1 root root 0 Apr  4 20:57 /proc/self/ns/user -> 'user:[4026531837]'

È possibile controllare la mappa degli utenti dal container docker con:

cat /proc/self/uid_map
0          0 4294967295  --> Root is root in host
0     231072      65536  --> Root is 231072 userid in host

O dal host con:

cat /proc/<pid>/uid_map

Trova tutti i namespace utente

sudo find /proc -maxdepth 3 -type l -name user -exec readlink {} \; 2>/dev/null | sort -u
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name user -exec ls -l  {} \; 2>/dev/null | grep <ns-number>

Entra all'interno di un User namespace

nsenter -U TARGET_PID --pid /bin/bash

Inoltre, puoi entrare in un altro namespace di processo solo se sei root. E non puoi entrare in un altro namespace senza un descrittore che punti ad esso (come /proc/self/ns/user).

Crea un nuovo namespace utente (con mappature)

unshare -U [--map-user=<uid>|<name>] [--map-group=<gid>|<name>] [--map-root-user] [--map-current-user]

# Container
sudo unshare -U /bin/bash
nobody@ip-172-31-28-169:/home/ubuntu$ #Check how the user is nobody

# From the host
ps -ef | grep bash # The user inside the host is still root, not nobody
root       27756   27755  0 21:11 pts/10   00:00:00 /bin/bash

Recupero delle Capacità

In caso di user namespaces, quando viene creato un nuovo user namespace, il processo che entra nel namespace riceve un insieme completo di capacità all'interno di quel namespace. Queste capacità consentono al processo di eseguire operazioni privilegiate come montare filesystem, creare dispositivi o cambiare la proprietà dei file, ma solo nel contesto del proprio user namespace.

Ad esempio, quando hai la capacità CAP_SYS_ADMIN all'interno di un user namespace, puoi eseguire operazioni che normalmente richiedono questa capacità, come montare filesystem, ma solo nel contesto del tuo user namespace. Qualsiasi operazione che esegui con questa capacità non influenzerà il sistema host o altri namespaces.

# There are the syscalls that are filtered after changing User namespace with:
unshare -UmCpf  bash

Probando: 0x067 . . . Error
Probando: 0x070 . . . Error
Probando: 0x074 . . . Error
Probando: 0x09b . . . Error
Probando: 0x0a3 . . . Error
Probando: 0x0a4 . . . Error
Probando: 0x0a7 . . . Error
Probando: 0x0a8 . . . Error
Probando: 0x0aa . . . Error
Probando: 0x0ab . . . Error
Probando: 0x0af . . . Error
Probando: 0x0b0 . . . Error
Probando: 0x0f6 . . . Error
Probando: 0x12c . . . Error
Probando: 0x130 . . . Error
Probando: 0x139 . . . Error
Probando: 0x140 . . . Error
Probando: 0x141 . . . Error