gpt4 book ai didi

linux - Linux 中的 init_user 命名空间是什么?

转载 作者:太空宇宙 更新时间:2023-11-04 12:43:02 27 4
gpt4 key购买 nike

在浏览Linux内核代码时,我在kernel/capability.c中发现了以下两个函数。

1)

bool has_capability(struct task_struct *t, int cap)

/*Does a task have a capability in init_user_ns.*/


2)

bool has_ns_capability(struct task_struct *t, struct user_namespace *ns, int cap)

/*Does a task have a capability in a specific user ns.*/

第一个函数中提到的init_user命名空间是什么?

据我所知,一个进程要么有能力(让我们暂时不用担心进程的不同能力集),要么没有,那么怎么能说一个进程有能力呢?到命名空间?

如果您查看 cap_get_target_pid() 的定义,在同一个文件中,它只是讨论获取具有给定 pid 的进程的功能,而不用担心用户命名空间。这对我来说看起来更自然。

最佳答案

Linux 功能是在 Linux 2.2 中引入的,而命名空间是在 Linux 3.8 中引入的。因此我认为既然是独立开发的,就应该有独立的存在。我现在意识到,在阅读了这些文章(Link1Link2)之后,情况并非如此。

当需要允许权限不足的进程创建用户命名空间时,这两种技术就出现了。在创建的用户命名空间内,进程可以拥有所有的能力,但在外面应该是无能为力的。因此,如果一个进程 P1 试图向另一个进程 P2 发送 IPC,并且 P1 有发送 IPC 的能力,那么内核不仅要检查能力,还必须检查 P1 是否具有用户所需的能力进程 P2 的命名空间。两个进程的用户命名空间可以完全不相交,彼此之间没有 IPC 功能,因此不允许执行此操作。但是,必须允许进程 P1 向其自己的用户命名空间中的所有进程发送 IPC。

来自 this维基百科文章,

Permissions for namespace of the other kinds are checked in the user namespace, they got created in.

正如 Gil Hamilton 指出的那样, init_user 命名空间 (init_user_ns) 只是根命名空间,即在启动时创建的用户命名空间。

Here是我关于该主题的完整文章。

关于linux - Linux 中的 init_user 命名空间是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39616729/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com