Time Namespace

Reading time: 6 minutes

Basic Information

Linux의 시간 네임스페이스는 시스템 단조 및 부팅 시간 시계에 대한 네임스페이스별 오프셋을 허용합니다. 이는 Linux 컨테이너에서 컨테이너 내의 날짜/시간을 변경하고 체크포인트 또는 스냅샷에서 복원한 후 시계를 조정하는 데 일반적으로 사용됩니다.

Lab:

Create different Namespaces

CLI

sudo unshare -T [--mount-proc] /bin/bash

새로운 /proc 파일 시스템 인스턴스를 마운트하면 --mount-proc 매개변수를 사용하여 새로운 마운트 네임스페이스가 해당 네임스페이스에 특정한 프로세스 정보에 대한 정확하고 격리된 뷰를 갖도록 보장합니다.

Docker

docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash

프로세스가 어떤 네임스페이스에 있는지 확인하기

ls -l /proc/self/ns/time
lrwxrwxrwx 1 root root 0 Apr  4 21:16 /proc/self/ns/time -> 'time:[4026531834]'

모든 시간 네임스페이스 찾기

sudo find /proc -maxdepth 3 -type l -name time -exec readlink {} \; 2>/dev/null | sort -u
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name time -exec ls -l  {} \; 2>/dev/null | grep <ns-number>

Time 네임스페이스에 들어가기

nsenter -T TARGET_PID --pid /bin/bash

시간 오프셋 조작

Linux 5.6부터, 두 개의 시계를 시간 네임스페이스별로 가상화할 수 있습니다:

• CLOCK_MONOTONIC
• CLOCK_BOOTTIME

그들의 네임스페이스별 델타는 /proc/<PID>/timens_offsets 파일을 통해 노출되며 (수정할 수 있음):

$ sudo unshare -Tr --mount-proc bash   # -T creates a new timens, -r drops capabilities
$ cat /proc/$$/timens_offsets
monotonic 0
boottime  0

파일에는 나노초 단위의 오프셋이 있는 시계당 한 줄이 포함되어 있습니다. CAP_SYS_TIME _시간 네임스페이스_를 보유한 프로세스는 값을 변경할 수 있습니다:

# advance CLOCK_MONOTONIC by two days (172 800 s)
echo "monotonic 172800000000000" > /proc/$$/timens_offsets
# verify
$ cat /proc/$$/uptime   # first column uses CLOCK_MONOTONIC
172801.37  13.57

벽시계(CLOCK_REALTIME)도 변경해야 하는 경우 여전히 고전적인 메커니즘(date, hwclock, chronyd, …)에 의존해야 합니다; 이는 네임스페이스화되지 않습니다.

unshare(1) 헬퍼 플래그 (util-linux ≥ 2.38)

sudo unshare -T \
--monotonic="+24h"  \
--boottime="+7d"    \
--mount-proc         \
bash

긴 옵션은 네임스페이스가 생성된 직후 선택한 델타를 timens_offsets에 자동으로 기록하여 수동 echo를 저장합니다.

OCI 및 런타임 지원

• OCI 런타임 사양 v1.1 (2023년 11월)은 컨테이너 엔진이 휴대 가능한 방식으로 시간 가상화를 요청할 수 있도록 전용 time 네임스페이스 유형과 linux.timeOffsets 필드를 추가했습니다.
• runc >= 1.2.0은 사양의 해당 부분을 구현합니다. 최소한의 config.json 조각은 다음과 같습니다:

{
"linux": {
"namespaces": [
{"type": "time"}
],
"timeOffsets": {
"monotonic": 86400,
"boottime": 600
}
}
}

그런 다음 runc run <id>로 컨테이너를 실행합니다.

주의: runc 1.2.6 (2025년 2월)은 "개인 timens로 컨테이너에 exec" 버그를 수정하여 정지 및 잠재적인 DoS를 초래할 수 있습니다. 프로덕션에서 ≥ 1.2.6을 사용하고 있는지 확인하십시오.

보안 고려사항

1. 필수 권한 – 프로세스는 오프셋을 변경하기 위해 사용자/시간 네임스페이스 내에서 CAP_SYS_TIME이 필요합니다. 컨테이너에서 해당 권한을 제거하면 (Docker 및 Kubernetes의 기본값) 변조를 방지할 수 있습니다.
2. 벽시계 변경 없음 – CLOCK_REALTIME이 호스트와 공유되기 때문에 공격자는 timens만으로 인증서 수명, JWT 만료 등을 스푸핑할 수 없습니다.
3. 로그/탐지 회피 – CLOCK_MONOTONIC에 의존하는 소프트웨어(예: 가동 시간 기반의 속도 제한기)는 네임스페이스 사용자가 오프셋을 조정하면 혼란스러워질 수 있습니다. 보안 관련 타임스탬프에는 CLOCK_REALTIME을 선호하십시오.
4. 커널 공격 표면 – CAP_SYS_TIME이 제거되더라도 커널 코드는 여전히 접근 가능하므로 호스트를 패치 상태로 유지하십시오. Linux 5.6 → 5.12는 여러 timens 버그 수정(NULl-deref, 부호 문제)을 받았습니다.

강화 체크리스트

• 컨테이너 런타임 기본 프로필에서 CAP_SYS_TIME을 제거하십시오.
• 런타임을 업데이트 상태로 유지하십시오 (runc ≥ 1.2.6, crun ≥ 1.12).
• --monotonic/--boottime 도우미에 의존하는 경우 util-linux ≥ 2.38을 고정하십시오.
• 보안에 중요한 논리를 위해 uptime 또는 CLOCK_MONOTONIC을 읽는 컨테이너 내 소프트웨어를 감사하십시오.

참조

• man7.org – 시간 네임스페이스 매뉴얼 페이지: https://man7.org/linux/man-pages/man7/time_namespaces.7.html
• OCI 블로그 – "OCI v1.1: 새로운 시간 및 RDT 네임스페이스" (2023년 11월 15일): https://opencontainers.org/blog/2023/11/15/oci-spec-v1.1