ИМЯ

ioctl_ns - операции ioctl() для пространств имён Linux

ОПИСАНИЕ

Определение отношений между пространствами имён

Следующие операции ioctl(2) позволяют определить порядок отношений между пространствами имён (смотрите user_namespaces(7) и pid_namespaces(7)). Форма вызовов:

new_fd = ioctl(fd, request);

Здесь в каждом случае fd ссылается на файл /proc/pid/ns/*. При успешном выполнении обе операции возвращают новый файловый дескриптор.
NS_GET_USERNS (начиная с Linux 4.9)
Возвращает файловый дескриптор, ссылающийся на пространство имён пользователя, которое владеет пространством имён, на которое ссылается fd.
NS_GET_PARENT (начиная с Linux 4.9)
Возвращает файловый дескриптор, который ссылается на родительское пространство имён для пространства имён, на которое ссылается fd. Эта операция допускается только, для иерархических пространств имён (т. е., PID и пространства имён пользователя). Для пространств имён пользователя NS_GET_PARENT является синонимом NS_GET_USERNS.
Новый файловый дескриптор, возвращаемый этими операциями, открывается с флагами O_RDONLY и O_CLOEXEC (close-on-exec; смотрите fcntl(2)).
Применив fstat(2) к возвращаемому файловому дескриптору, можно получить структуру stat, в которой поля st_dev (подлежащее устройство) и st_ino (номер иноды) вместе отождествляют владельческое/родительское пространство имён. Этот номер иноды можно сравнить с номером иноды другого файла /proc/pid/ns/{pid, user}, чтобы определить то же ли это владельческое/родительское пространство имён.
Эти операции ioctl(2) могут завершаться со следующими ошибками:
EPERM
Запрошенное пространство имён лежит вне области пространств имён вызывающего. Эта ошибка может случиться, если, например, владельческое пространство имён является предком текущего пространства имён пользователя вызывающего. Также она может возникнуть при попытке получить родителя первоначального пространства имён пользователя или PID.
ENOTTY
Операция не поддерживается в этой версии ядра.
Также, операция NS_GET_PARENT может завершиться со следующей ошибкой:
EINVAL
Значение fd ссылается на не иерархическое пространство имён.
Использование этих операций смотрите в разделе ПРИМЕРЫ.

Определение типа пространства имён

Операция NS_GET_NSTYPE (доступна, начиная с Linux 4.11) позволяет определять тип пространства имён, на которое ссылается файловый дескриптор fd:

nstype = ioctl(fd, NS_GET_NSTYPE);

Значение fd ссылается на файл /proc/pid/ns/*.
Возвращаемым значением является одно из CLONE_NEW*, которое может указываться clone(2) или unshare(2) для создания пространства имён.

Определение владельца пространства имён пользователя

Операция NS_GET_OWNER_UID (доступна, начиная с Linux 4.11) позволяет определять пользовательский ID владельца пространства имён пользователя (т. е., эффективный пользовательский ID процесса, который создал пространство имён пользователя). Формат вызова:

uid_t uid;
ioctl(fd, NS_GET_OWNER_UID, &uid);

Значение fd ссылается на файл /proc/pid/ns/user.
Возвращаемый пользовательский ID владельца находится в третьем аргументе с типом uid_t.
Данная операция может завершиться со следующей ошибкой:
EINVAL
Значение fd не ссылается на пространство имён пользователя.

ОШИБКИ

Любая из этих операций ioctl() может завершаться со следующими ошибками:
ENOTTY
Значение fd не ссылается на файл /proc/[pid]/ns/*.

СТАНДАРТЫ

Пространства имён и операции, описанные здесь, есть только в Linux.

ПРИМЕРЫ

В примере, показанном ниже, используются описанные выше операции ioctl(2), с помощью которых определяются отношения между пространствами имён. Далее показаны сценарии запуска этой программы.
Попытка определить родителя изначального пространства имён пользователя завершается ошибкой, так как родителя нет:

$  ./ns_show /proc/self/ns/user p
Родительское пространство имён находится вне области вашего пространства имён

Создаётся процесс, выполняющий sleep(1), который располагается в новом пространстве имён пользователя и UTS, и показывается, что новое пространство имён UTS связано с новым пространством имён пользователя:

$  unshare -Uu sleep 1000 &
[1] 23235
$  ./ns_show /proc/23235/ns/uts u
Устройство/инода, владеющая пространством имён пользователя: [0,3] / 4026532448
$  readlink /proc/23235/ns/user
user:[4026532448]

Теперь покажем, что родителем нового пространства имён пользователя из предыдущего примера является начальное пространство имён пользователя:

$  readlink /proc/self/ns/user
user:[4026531837]
$  ./ns_show /proc/23235/ns/user p
Устройство/инода родительского пространства имён: [0,3] / 4026531837

Запустим оболочку в новом пространстве имён пользователя и покажем, что внутри оболочки родительское пространство имён пользователя невозможно определить. Также невозможно определить пространство имён UTS (которое связано с изначальным пространством имён пользователя).

$  PS1="sh2$ " unshare -U bash
sh2$  ./ns_show /proc/self/ns/user p
Родительское пространство имён находится вне области вашего пространства имён
sh2$  ./ns_show /proc/self/ns/uts u
Владеющее пространство имён пользователя находится вне области вашего пространства имён

Исходный код программы

/* ns_show.c
Лицензируется под GNU General Public License v2 или новее. */ #include <errno.h> #include <fcntl.h> #include <linux/nsfs.h> #include <stdint.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/ioctl.h> #include <sys/stat.h> #include <sys/sysmacros.h> #include <unistd.h>
int main(int argc, char *argv[]) { int fd, userns_fd, parent_fd; struct stat sb;
if (argc < 2) { fprintf(stderr, "Usage: %s /proc/[pid]/ns/[file] [p|u]\n", argv[0]); fprintf(stderr, "\nDisplay the result of one or both " "of NS_GET_USERNS (u) or NS_GET_PARENT (p)\n" "for the specified /proc/[pid]/ns/[file]. If neither " "'p' nor 'u' is specified,\n" "NS_GET_USERNS is the default.\n"); exit(EXIT_FAILURE); }
/* Obtain a file descriptor for the 'ns' file specified in argv[1]. */
fd = open(argv[1], O_RDONLY); if (fd == -1) { perror("open"); exit(EXIT_FAILURE); }
/* получаем файловый дескриптор владельческого пространства имён пользователя и затем показываем номер иноды этого пространства имён */
if (argc < 3 || strchr(argv[2], 'u')) { userns_fd = ioctl(fd, NS_GET_USERNS);
if (userns_fd == -1) { if (errno == EPERM) printf("Родительское пространство имён находится " "вне области вашего пространства имён\n"); else perror("ioctl-NS_GET_USERNS"); exit(EXIT_FAILURE); }
if (fstat(userns_fd, &sb) == -1) { perror("fstat-userns"); exit(EXIT_FAILURE); } printf("Устройство/инода, владеющая пространством имён пользователя: " "[%x,%x] / %ju\n", major(sb.st_dev), minor(sb.st_dev), (uintmax_t) sb.st_ino);
close(userns_fd); }
/* получаем файловый дескриптор родительского пространства имён пользователя и затем показываем номер иноды этого пространства имён */
if (argc > 2 && strchr(argv[2], 'p')) { parent_fd = ioctl(fd, NS_GET_PARENT);
if (parent_fd == -1) { if (errno == EINVAL) printf("Can' get parent namespace of a " "nonhierarchical namespace\n"); else if (errno == EPERM) printf("The parent namespace is outside " "your namespace scope\n"); else perror("ioctl-NS_GET_PARENT"); exit(EXIT_FAILURE); }
if (fstat(parent_fd, &sb) == -1) { perror("fstat-parentns"); exit(EXIT_FAILURE); } printf("Устройство/инода родительского пространства имён: [%x,%x] / %ju\n", major(sb.st_dev), minor(sb.st_dev), (uintmax_t) sb.st_ino);
close(parent_fd); }
exit(EXIT_SUCCESS); }

СМ. ТАКЖЕ

fstat(2), ioctl(2), proc(5), namespaces(7)

ПЕРЕВОД

Русский перевод этой страницы руководства был сделан Azamat Hackimov <[email protected]>, Dmitriy S. Seregin <[email protected]>, Yuri Kozlov <[email protected]> и Иван Павлов <[email protected]>
Этот перевод является бесплатной документацией; прочитайте Стандартную общественную лицензию GNU версии 3 или более позднюю, чтобы узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ.
Если вы обнаружите ошибки в переводе этой страницы руководства, пожалуйста, отправьте электронное письмо на [email protected]

Recommended readings

Pages related to ioctl_ns you should read also: