日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
為什么strace在Docker中不起作用?

在編輯“容器如何工作”愛好者雜志的能力頁面時,我想試著解釋一下為什么 strace 在 Docker 容器中無法工作。

成都創(chuàng)新互聯(lián)公司專注于井岡山企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,電子商務(wù)商城網(wǎng)站建設(shè)。井岡山網(wǎng)站建設(shè)公司,為井岡山等地區(qū)提供建站服務(wù)。全流程定制網(wǎng)站開發(fā),專業(yè)設(shè)計,全程項目跟蹤,成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

這里的問題是 —— 如果我在筆記本上的 Docker 容器中運行 strace,就會出現(xiàn)這種情況:

 
 
 
 
    
  
  
  
  
  1. $ docker run  -it ubuntu:18.04 /bin/bash 
    2. 
  
  
  
  
  2. $ # ... install strace ... 
    3. 
  
  
  
  
  3. [email protected]:/# strace ls 
    4. 
  
  
  
  
  4. strace: ptrace(PTRACE_TRACEME, ...): Operation not permitted 
    5.

strace 通過 ptrace 系統(tǒng)調(diào)用起作用,所以如果不允許使用 ptrace,它肯定是不能工作的! 這個問題很容易解決 —— 在我的機器上,是這樣解決的:

 
 
 
 
    
  
  
  
  
  1. docker run --cap-add=SYS_PTRACE -it ubuntu:18.04 /bin/bash 
    2.

但我對如何修復(fù)它不感興趣,我想知道為什么會出現(xiàn)這種情況。為什么 strace 不能工作,為什么--cap-add=SYS_PTRACE 可以解決這個問題?

假設(shè) 1:容器進程缺少 CAP_SYS_PTRACE 能力。

我一直以為原因是 Docker 容器進程默認不具備 CAP_SYS_PTRACE 能力。這和它可以被 --cap-add=SYS_PTRACE 修復(fù)是一回事,是吧?

但這實際上是不合理的,原因有兩個。

原因 1:在實驗中,作為一個普通用戶,我可以對我的用戶運行的任何進程進行 strace。但如果我檢查我的當(dāng)前進程是否有 CAP_SYS_PTRACE 能力,則沒有:

 
 
 
 
    
  
  
  
  
  1. $ getpcaps $$ 
    2. 
  
  
  
  
  2. Capabilities for `11589': = 
    3.

原因 2:capabilities 的手冊頁對 CAP_SYS_PTRACE 的介紹是:

 
 
 
 
    
  
  
  
  
  1. CAP_SYS_PTRACE 
    2. 
  
  
  
  
  2.        * Trace arbitrary processes using ptrace(2); 
    3.

所以,CAP_SYS_PTRACE 的作用是讓你像 root 一樣,可以對任何用戶擁有的任意進程進行 ptrace。你不需要用它來對一個只是由你的用戶擁有的普通進程進行 ptrace 。

我用第三種方法測試了一下(LCTT 譯注:此處可能原文有誤) —— 我用 docker run --cap-add=SYS_PTRACE -it ubuntu:18.04 /bin/bash 運行了一個 Docker 容器,去掉了 CAP_SYS_PTRACE 能力,但我仍然可以跟蹤進程,雖然我已經(jīng)沒有這個能力了。什么?為什么?!

假設(shè) 2:關(guān)于用戶命名空間的事情?

我的下一個(沒有那么充分的依據(jù)的)假設(shè)是“嗯,也許這個過程是在不同的用戶命名空間里,而 strace 不能工作,因為某種原因而行不通?”這個問題其實并不相關(guān),但這是我觀察時想到的。

容器進程是否在不同的用戶命名空間中?嗯,在容器中:

 
 
 
 
    
  
  
  
  
  1. root@e27f594da870:/# ls /proc/$$/ns/user -l 
    2. 
  
  
  
  
  2. ... /proc/1/ns/user -> 'user:[4026531837]' 
    3.

在宿主機:

 
 
 
 
    
  
  
  
  
  1. bork@kiwi:~$ ls /proc/$$/ns/user -l 
    2. 
  
  
  
  
  2. ... /proc/12177/ns/user -> 'user:[4026531837]' 
    3.

因為用戶命名空間 ID(4026531837)是相同的,所以容器中的 root 用戶和主機上的 root 用戶是完全相同的用戶。所以,絕對沒有理由不能夠?qū)λ鼊?chuàng)建的進程進行 strace!

這個假設(shè)并沒有什么意義,但我(之前)沒有意識到 Docker 容器中的 root 用戶和主機上的 root 用戶同一個,所以我覺得這很有意思。

假設(shè) 3:ptrace 系統(tǒng)的調(diào)用被 seccomp-bpf 規(guī)則阻止了

我也知道 Docker 使用 seccomp-bpf 來阻止容器進程運行許多系統(tǒng)調(diào)用。而 ptrace 在被 Docker 默認的 seccomp 配置文件阻止的系統(tǒng)調(diào)用列表中!(實際上,允許的系統(tǒng)調(diào)用列表是一個白名單,所以只是ptrace 不在默認的白名單中。但得出的結(jié)果是一樣的。)

這很容易解釋為什么 strace 在 Docker 容器中不能工作 —— 如果 ptrace 系統(tǒng)調(diào)用完全被屏蔽了,那么你當(dāng)然不能調(diào)用它,strace 就會失敗。

讓我們來驗證一下這個假設(shè) —— 如果我們禁用了所有的 seccomp 規(guī)則,strace 能在 Docker 容器中工作嗎?

 
 
 
 
    
  
  
  
  
  1. $ docker run --security-opt seccomp=unconfined -it ubuntu:18.04  /bin/bash 
    2. 
  
  
  
  
  2. $ strace ls 
    3. 
  
  
  
  
  3. execve("/bin/ls", ["ls"], 0x7ffc69a65580 /* 8 vars */) = 0 
    4. 
  
  
  
  
  4. ... it works fine ... 
    5.

是的,很好用!很好。謎底解開了,除了…..

為什么 --cap-add=SYS_PTRACE 能解決問題?

我們還沒有解釋的是:為什么 --cap-add=SYS_PTRACE 可以解決這個問題?

docker run 的手冊頁是這樣解釋 --cap-add 參數(shù)的。

 
 
 
 
    
  
  
  
  
  1. --cap-add=[] 
    2. 
  
  
  
  
  2.    Add Linux capabilities 
    3.

這跟 seccomp 規(guī)則沒有任何關(guān)系! 怎么回事?

我們來看看 Docker 源碼

當(dāng)文檔沒有幫助的時候,唯一要做的就是去看源碼。

Go 語言的好處是,因為依賴關(guān)系通常是在一個 Go 倉庫里,你可以通過 grep 來找出做某件事的代碼在哪里。所以我克隆了 github.com/moby/moby,然后對一些東西進行 grep,比如 rg CAP_SYS_PTRACE。

我認為是這樣的。在 containerd 的 seccomp 實現(xiàn)中,在 contrib/seccomp/seccomp/seccomp_default.go 中,有一堆代碼來確保如果一個進程有一個能力,那么它也會(通過 seccomp 規(guī)則)獲得訪問權(quán)限,以使用與該能力相關(guān)的系統(tǒng)調(diào)用。

 
 
 
 
    
  
  
  
  
  1. case "CAP_SYS_PTRACE": 
    2. 
  
  
  
  
  2.        s.Syscalls = append(s.Syscalls, specs.LinuxSyscall{ 
    3. 
  
  
  
  
  3.            Names: []string{ 
    4. 
  
  
  
  
  4.                "kcmp", 
    5. 
  
  
  
  
  5.                "process_vm_readv", 
    6. 
  
  
  
  
  6.                "process_vm_writev", 
    7. 
  
  
  
  
  7.                "ptrace", 
    8. 
  
  
  
  
  8.            }, 
    9. 
  
  
  
  
  9.            Action: specs.ActAllow, 
    10. 
  
  
  
  
  10.            Args:   []specs.LinuxSeccompArg{}, 
    11. 
  
  
  
  
  11.        }) 
    12.

在 moby 中的 profile/seccomp/seccomp.go 和 默認的 seccomp 配置文件中,也有一些其他的代碼似乎做了一些非常類似的事情,所以有可能就是這個代碼在做這個事情。

所以我想我們有答案了!

Docker 中的 --cap-add 做的事情比它說的要多

結(jié)果似乎是,--cap-add 并不像手冊頁里說的那樣,它更像是 --cap-add-and-also-whiteelist-some-extra-system-calls-if-required。這很有意義! 如果你具有一個像 --CAP_SYS_PTRACE 這樣的能力,可以讓你使用 process_vm_readv 系統(tǒng)調(diào)用,但是該系統(tǒng)調(diào)用被 seccomp 配置文件阻止了,那對你沒有什么幫助!

所以當(dāng)你給容器 CAP_SYS_PTRACE 能力時,允許使用 process_vm_readv 和 ptrace 系統(tǒng)調(diào)用似乎是一個合理的選擇。

就這樣!

這是個有趣的小事情,我認為這是一個很好的例子,說明了容器是由許多移動的部件組成的,它們以不完全顯而易見的方式一起工作。


當(dāng)前名稱:為什么strace在Docker中不起作用?
文章起源:http://www.5511xx.com/article/djicpds.html