从 Go 调用 setns 为 mnt 命名空间返回 EINVAL-6ren

从 Go 调用 setns 为 mnt 命名空间返回 EINVAL

转载作者：IT老高更新时间：2023-10-28 13:09:28

26

4

C 代码工作正常并正确进入命名空间，但 Go 代码似乎总是从 setns 返回 EINVAL调用电话进入mnt命名空间。我在 Go .so 上尝试了许多排列(包括带有 cgo 和外部 1.2 的嵌入式 C 代码) , 1.3和当前的提示。

单步执行gdb 中的代码表明两个序列都在调用 setns在 libc完全相同的方式(或者在我看来)。

我将问题归结为下面的代码。我做错了什么？

设置

我有一个用于启动快速busybox容器的shell别名:

alias startbb='docker inspect --format "{{ .State.Pid }}" $(docker run -d busybox sleep 1000000)'

运行后，startbb将启动一个容器并输出它的 PID。

lxc-checkconfig输出:

Found kernel config file /boot/config-3.8.0-44-generic
--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled
Pid namespace: enabled
User namespace: missing
Network namespace: enabled
Multiple /dev/pts instances: enabled

--- Control groups ---
Cgroup: enabled
Cgroup clone_children flag: enabled
Cgroup device: enabled
Cgroup sched: enabled
Cgroup cpu account: enabled
Cgroup memory controller: missing
Cgroup cpuset: enabled

--- Misc ---
Veth pair device: enabled
Macvlan: enabled
Vlan: enabled
File capabilities: enabled

uname -a产生:

Linux gecko 3.8.0-44-generic #66~precise1-Ubuntu SMP Tue Jul 15 04:01:04 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

工作 C 代码

以下 C 代码可以正常工作:

#include <errno.h>
#include <sched.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>

main(int argc, char* argv[]) {
    int i;
    char nspath[1024];
    char *namespaces[] = { "ipc", "uts", "net", "pid", "mnt" };

    if (geteuid()) { fprintf(stderr, "%s\n", "abort: you want to run this as root"); exit(1); }

    if (argc != 2) { fprintf(stderr, "%s\n", "abort: you must provide a PID as the sole argument"); exit(2); }

    for (i=0; i<5; i++) {
        sprintf(nspath, "/proc/%s/ns/%s", argv[1], namespaces[i]);
        int fd = open(nspath, O_RDONLY);

        if (setns(fd, 0) == -1) { 
            fprintf(stderr, "setns on %s namespace failed: %s\n", namespaces[i], strerror(errno));
        } else {
            fprintf(stdout, "setns on %s namespace succeeded\n", namespaces[i]);
        }

        close(fd);
    }
}

使用 gcc -o checkns checkns.c 编译后，sudo ./checkns <PID> 的输出是:

setns on ipc namespace succeeded
setns on uts namespace succeeded
setns on net namespace succeeded
setns on pid namespace succeeded
setns on mnt namespace succeeded

失败的 Go 代码

相反，以下 Go 代码(应该是相同的)不能很好地工作:

package main

import (
    "fmt"
    "os"
    "path/filepath"
    "syscall"
)

func main() {
    if syscall.Geteuid() != 0 {
        fmt.Println("abort: you want to run this as root")
        os.Exit(1)
    }

    if len(os.Args) != 2 {
        fmt.Println("abort: you must provide a PID as the sole argument")
        os.Exit(2)
    }

    namespaces := []string{"ipc", "uts", "net", "pid", "mnt"}

    for i := range namespaces {
        fd, _ := syscall.Open(filepath.Join("/proc", os.Args[1], "ns", namespaces[i]), syscall.O_RDONLY, 0644)
        err, _, msg := syscall.RawSyscall(308, uintptr(fd), 0, 0) // 308 == setns

        if err != 0 {
            fmt.Println("setns on", namespaces[i], "namespace failed:", msg)
        } else {
            fmt.Println("setns on", namespaces[i], "namespace succeeded")
        }

    }
}

相反，运行 sudo go run main.go <PID>产生:

setns on ipc namespace succeeded
setns on uts namespace succeeded
setns on net namespace succeeded
setns on pid namespace succeeded
setns on mnt namespace failed: invalid argument

最佳答案

(有an issue filed on the Go project)

所以，这个问题的答案是您必须从单线程上下文中调用 setns。这是有道理的，因为 setns 应该将当前线程加入命名空间。由于 Go 是多线程的，因此您需要在 Go 运行时线程启动之前进行 setns 调用。

我认为这是因为执行syscall.RawSyscall调用的线程不是主线程——甚至withruntime.LockOSThread 结果不是你所期望的(即，goroutine 被“锁定”到主 C 线程，因此相当于下面解释的构造函数技巧)。

我在提交问题后得到的回复建议使用“cgo 构造函数技巧”。我在这个“技巧”上找不到任何“正确”的文档，但是 Docker/Michael Crosby 在 nsinit 中使用了它，即使我逐行查看了该代码，但我没有尝试以这种方式运行它(请参阅下面的挫败感)。

“诀窍”基本上是您可以让 cgo 在启动 Go 运行时之前执行 C 函数。

为此，您添加 __attribute__((constructor)) 宏来装饰您要在 Go 启动之前运行的函数:

/*
__attribute__((constructor)) void init() {
    // this code will execute before Go starts up
    // in runs in a single-threaded C context
    // before Go's threads start running
}
*/
import "C"

使用这个作为模板，我修改了 checkns.go 如下:

/*
#include <sched.h>
#include <stdio.h>
#include <fcntl.h>

__attribute__((constructor)) void enter_namespace(void) {
   setns(open("/proc/<PID>/ns/mnt", O_RDONLY, 0644), 0);
}
*/
import "C"

... rest of file is unchanged ...

此代码有效，但需要对 PID 进行硬编码，因为它没有从命令行输入正确读取，但它说明了这个想法(如果您提供 PID 来自如上所述启动的容器)。

这很令人沮丧，因为我想多次调用 setns 但由于此 C 代码在 Go 运行时开始之前执行，因此没有可用的 Go 代码。

更新: 在内核邮件列表中闲逛提供了 this link到记录这一点的对话。我似乎无法在任何实际发布的联机帮助页中找到它，但这是 setns(2) 补丁中的引述，由 Eric Biederman 确认:

A process may not be reassociated with a new mount namespace if it is multi-threaded. Changing the mount namespace requires that the caller possess both CAP_SYS_CHROOT and CAP_SYS_ADMIN capabilities in its own user namespace and CAP_SYS_ADMIN in the target mount namespace.

关于从 Go 调用 setns 为 mnt 命名空间返回 EINVAL，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/25704661/

26

4

0

文章推荐： android - 为什么 onKey() 被调用了两次？

文章推荐： android - 从 Android 中的谷歌地图清除标记

文章推荐： mongodb - 如何将 mongodb 字符集设置为 utf8？

php - 返回 1 返回 0 VS 返回 true 返回 false
按照目前的情况，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
php - 什么更快？如果()返回；否则返回；或者如果()返回；返回;
在编码时，我问了自己这个问题: 这样更快吗: if(false) return true; else return false; 比这个？ if(false) return true; return
javascript - 以逻辑运算符返回(&& 返回、|| 返回)
如何在逻辑条件下进行“返回”？在这样的情况下这会很有用 checkConfig() || return false; var iNeedThis=doSomething() || return fa
正则表达式 - 如果第一个数字是 1 返回 1 但如果它是 145 返回 145 但如果它的 133 返回 133
这是我的正则表达式 demo 如问题所述: 如果第一个数字是 1 则返回 1 但如果是 145 则返回 145 但如果是 133 则返回 133 样本数据a: K'8134567 K'81345678
c - 返回-返回!在 C
在代码高尔夫问答部分查看谜题和答案时，我遇到了 this solution返回 1 的最长和最晦涩的方法引用答案， int foo(void) { return! 0; } int bar(
java - springboot 返回 responseentity 返回 JSON
我想在下面返回 JSON。 { "name": "jackie" } postman 给我错误。说明 Unexpected 'n' 这里是 Spring Boot 的新手。 1日龄。有没有正确的方法来
python "is"返回 True 但 "=="返回 False
只要“is”返回 True，“==”不应该返回 True 吗？ In [101]: np.NAN is np.nan is np.NaN Out[101]: True In [102]: np.NAN
Mysql 返回 1 如果找到或根本不存在值，如果存在其他值，返回 0
我需要获取所有在 6 号或 7 号房间或根本不在任何房间的学生的详细信息。如果他们在其他房间，简单地说，我不希望有那个记录。我的架构是: students(roll_no, name,class,.
javascript - ajax 返回 true，但 == 返回 false
我有一个表单，我将它发送到 php 以通过 ajax 插入到 mysql 数据库中。一切顺利，php 返回 "true" 值，但在 ajax 中它显示 false 消息。在这里你可以查看php代码:
android - Kotlin 中的奇怪值比较问题， "==="返回 true 但 "=="返回 false
我在 Kotlin 中遇到了一个非常奇怪的无法解释的值比较问题，以下代码打印假 data class Foo ( val a: Byte ) fun main() { val NUM
angular - testability.whenStable() 返回， testability.isStable() 返回 false
请注意，这并非特定于 Protractor。问题在于 Angular 2 的内置 Testability service Protractor 碰巧使用。 Protractor 调用 Testabil
vba - CountA 返回 0，WorksheetFunction.CountA 返回 1
在调试窗口中，以下表达式均返回 1。 Application.WorksheetFunction.CountA(Cells(4 + (i - 1) * rows_per_record, 28) & "
json - OPTIONS 返回 204，POST 返回 200 但数据库中没有输入数据
我在本地使用 jsonplaceholder ( http://jsonplaceholder.typicode.com/)。我正在通过 extjs rest 代理测试我的 GET 和 POST 调用
c# - Restsharp 返回 403 而 Postman 返回 200
这是 Postman 为成功调用我的页面而提供的(修改后的)代码段。 var client = new RestClient("http://sub.example.com/wp-json/wp/v2
php - Mysqli_query 返回 false 而 Mysqli_error 返回 NULL？
这个问题在这里已经有了答案: What to do with mysqli problems? Errors like mysqli_fetch_array(): Argument #1 must
c - Argc 返回 1，argv 返回 NULL，尽管输入了命令行参数
我想我对 C 命令行参数有点生疏。我查看了我的一些旧代码，但无论这个版本是什么，都会出现段错误。运行方式是 ./foo -n num(其中 num 是用户在命令行中输入的数字) 但不知何故它不起作用
c++ - 命名管道 CreateFile() 返回 INVALID_HANDLE_VALUE，GetLastError() 返回 ERROR_PIPE_BUSY
我已经编写了一个类来处理命名管道连接，如果我创建了一个实例，关闭它，然后尝试创建另一个实例，调用 CreateFile() 返回 INVALID_HANDLE_VALUE，并且 GetLastErro
PHP is_writable() 返回 true 但 file_put_contents() 返回 false
即使 is_writable() 返回 true，我也无法写入文件。当然，该文件存在并且显然是可读的。这是代码: $file = "data"; echo file_get_contents($fil
php - SoapClient 返回 "NULL"，但 __getLastResponse() 返回 XML
下面代码中的变量 $response 为 NULL，尽管它应该是 SOAP 请求的值。 (潮汐列表)。当我调用 $client->__getLastResponse() 时，我从 SOAP 服务获得了
c - LoadImage() 返回 NULL 和 GetLastError() 返回 0
我一直在网上的不同论坛上搜索答案，但似乎没有与我的情况相符的... 我正在使用 Windows 7，VS2010。我有一个使用定时器来调用任务栏刷新功能的应用程序。在该任务栏函数中包含对 LoadI

首页

博学

6Ren·AI

商城