unshare与setns函数

已于 2024-03-13 15:46:12 修改
阅读量1.1k 收藏 19
点赞数 18
CC 4.0 BY-SA版权
分类专栏: linux C函数 linux namespace 文章标签: linux c语言
于 2024-03-12 20:07:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangzhangyin/article/details/136661291
本文详细介绍了Linux中的unshare和setns函数,用于进程执行上下文的隔离和加入已有命名空间。unshare函数允许进程取消共享执行上下文的各个部分,如文件描述符、文件系统、命名空间等,而setns函数则让进程可以加入已存在的命名空间。内容包括函数原型、参数解析、命令用法及案例,展示了这两个函数在系统管理、容器和命名空间操作中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

unshare函数原型:

#define _GNU_SOURCE

#include <sched.h>

int unshare(int flags);

作用:分离进程执行上下文的各个部分,允许进程(或线程)解除当前与其他进程(或线程)部分共享的执行上下文;

unshare() 允许进程在不创建新进程的情况下控制(主要是取消共享)其共享的执行上下文。

当使用 fork(2) 或 vfork(2) 创建新进程时,有的执行上下文,比如命名空间是隐式共享的,即如果你不显式的指定,那么默认创建的子进程或子线程都在同一个命名空间当中。

使用clone(2)创建进程或者线程式,有的执行上下文,比如虚拟内存需要显式的指定。

在使用 clone(2) 创建新进程时,并非所有可以共享的进程属性都可以使用 unshare() 取消共享。 特别是,在内核 3.8 中,unshare() 没有实现反转 CLONE_SIGHAND、CLONE_THREAD 或 CLONE_VM 的影响的标志。 如果需要,将来可能会添加此类功能。

flags 参数是一个位掩码,它指定执行上下文的哪些部分应该被取消共享。

如果 flags 指定为零,则 unshare() 是空操作; 没有对调用进程的执行上下文进行任何更改。

此参数通过将零个或多个以下常量组合在一起指定:

  1. CLONE_FILES
    取消共享文件描述符表,以便调用进程不再与任何其他进程共享文件描述符。
  2. CLONE_FS
    取消共享文件系统属性,以便调用进程不再与任何其他进程共享其根目录 (chroot(2))、当前目录 (chdir(2)) 或 umask (umask(2)) 属性。
  3. CLONE_NEWCGROUP
    取消共享 cgroup 命名空间。 该标志需要 CAP_SYS_ADMIN capability。
  4. CLONE_NEWIPC
    取消共享 IPC 命名空间,以便调用进程拥有IPC 命名空间的私有副本且不与任何其他进程共享 。指定此标志也会自动指定 CLONE_SYSVSEM标志。该标志需要 CAP_SYS_ADMIN capability。
  5. CLONE_NEWNET
    取消共享网络名称空间,以便将调用进程移动到一个新的网络名称空间中,该名称空间不与任何先前存在的进程共享。该标志需要 CAP_SYS_ADMIN capability。
  6. CLONE_NEWNS
    取消共享Mount命名空间,以便调用进程拥有其命名空间的私有副本,且不与任何其他进程共享。该标志需要 CAP_SYS_ADMIN capability。
  7. CLONE_NEWPID
    取消共享 PID 名称空间,以便调用进程为其子进程拥有一个新的 PID 名称空间,该名称空间不与任何先前存在的进程共享。调用进程不会移动到新的命名空间中。调用进程创建的第一个子进程将具有进程 ID 1,并将在新命名空间中
最低0.47元/天 解锁文章
Docker背后的故事之namespace
lsz137105的专栏
09-16 306
本文首发于我的公众号码农之屋(id:Spider1818),专注于干货分享,包含但不限于Java编程、网络技术、Linux内核及实操、容器技术等。欢迎大家关注,二维码文末可以扫。 导读:Linux内核在2.4.19版本开始便引入了namespace的概念,其目的是为了实现系统资源的隔离,这样在同一个namespace下的进程可以感知彼此的变化,而对外界的进程一无所知。 一、namespa...
linux容器基础-namespace
hiyun9的博客
08-19 727
在聊容器之前,我们先回顾一下linux,linux的作用是管理硬件的资源分配,对于使用操作系统的人来说,我们就是为了让其运行我们的程序,这样就可以理解成我们将想运行的程序交给操作系统,操作系统来给我们的程序分配对应的资源。,要做到的效果是:如果某个 namespace 中有进程在里面运行,它们只能看到该 namespace 的信息,无法看到 namespace 以外的东西。我们动手实践玩一玩,(这里需要一个linux的机器,文中使用的是ubuntu22.04,5.15的内核),就能有更深刻的认识。
docker-enter:用于输入现有容器的docker工具。 该工具依赖docker和setns
03-26
什么是docker-enter docker-enter是一个简单的程序,可让您访问正在运行的Docker容器。 这类似于nsenter BUT,但没有所有错误和依赖项。 此外,docker-enter充分利用了docker本身,从而可以使用容器的简短ID(ID的2-3个开头字符)。 请记住,此工具需要安装docker才能运行。 但是,由于您要输入一个容器,这意味着您已经安装了它,因此不必大惊小怪。 示范: manos@box:~$ docker run -d ubuntu sleep 9999999 73d6cfac58c1b8ade19ec485b249f5a7bf44840bdeeebf36cd675f05625b47ab manos@box:~$ sudo docker-enter 73d [sudo] password for manos: root@73d6cfac5
Linux function: unshare
weixin_30721899的博客
07-08 319
When a new process is created with theclone()system call, a set of flags is provided which tells the kernel which resources, if any, should be shared between that process and its parent. Potentially...
unshare命令详解及案例
热门推荐
认知 行动 坚持
02-26 1万+
unshare命令详解 1.名字 unshare - run program with some namespaces unshared from parent(使用父程序不共享的名称空间运行程序) 2.摘要 unshare [options] program [arguments] 3.描述 Unshares the indicated namespaces from the parent process and then executes the specified program. The n
内核文件系统API之unshare_fs_struct
jason的笔记
03-16 683
int unshare_fs_struct(void)用于跟当前task的fs_struct设置新值,实现不共享copy 其源码分析如下: int unshare_fs_struct(void) { struct fs_struct *fs = current-&gt;fs; #申请新的fs_struct struct fs_struct *new_fs = copy_fs_struct(f...
unshare: unshare 失败: 无效的参数
shuifa2008的专栏
11-18 1950
unshare是干嘛的? 简单说就是用来运行程序的,它允许程序不共享主进程的一些namespace,而namespace主要用来隔离进程的,当前大火的容器技术就是使用了namespace。 运行下面的命令 unshare --user --pid --map-root-user --mount-proc --fork bash 这就类似于你运行了一个容器了,docker exec -it <image> /bin/bash 不出问题的话,你应该就进入一个单独的执行环境了,user,pid这些都
可以通过libbpf监测哪些函数来确定发生了容器逃逸,给出具体的函数名,越多越好
03-27
2. setns:用于将进程的namespace切换到另一个namespace,包括容器的namespace切换。 3. mount:用于挂载文件系统,容器中的文件系统通常都是由宿主机挂载到容器中的。 4. chroot:用于改变进程的根目录,容器中的根...
容器运行时runc内部实现深入解读
y_chen_007的博客
05-11 1987
runc 内部实现深入解读 最近把runc的实现代码仔细的看了一遍,有点复杂,特别是nsenter那块反反复复看了不下三遍才搞懂是个什么机制,不过确实写得不错,防止日后遗忘,另外也给其他朋友一点参考(网上有一些关于runc的介绍文章,但是没有nsenter这块的介绍) 概要设计 runc的实现分为两个大阶段: 第一个阶段叫bootstrap, 设置一些环境以及配置信息, 创建匿名管道, 把容器的...
linux unshare 命令,Linux ip netns 命令
weixin_42525428的博客
05-02 1017
ip netns 命令用来管理 network namespace。它可以创建命名的 network namespace,然后通过名字来引用 network namespace,所以使用起来很方便。ip netns 命令格式如下:ip [ OPTIONS ] netns { COMMAND | help }可以通过 help 命令查看 ip netns 所有操作的帮助信息: network na...
linux unshare 命令,详解Linux Namespace之User
weixin_39571087的博客
05-02 1389
User namespace 是 Linux 3.8 新增的一种 namespace,用于隔离安全相关的资源,包括 user IDs and group IDs,keys, 和 capabilities。同样一个用户的 user ID 和 group ID 在不同的 user namespace 中可以不一样( PID nanespace 类似)。换句话说,一个用户可以在一个 user name...
linuxunshare -user -r /bin/bash命令详解
最新发布
m0_45406092的博客
12-24 482
是一个 Linux 命令,它用于在新的用户命名空间中运行一个进程(在这个例子中是 /bin/bash)。以下是这个命令的详细解释:【1. 命令解析】创建新的命名空间注意:不能单独存在,依赖前面的--user参数/bin/bash:命令运行一个新的 Bash shell,使其在创建的用户命名空间中运行。【2. 效果】运行后:内部独立环境:对命名空间内部的修改(如文件系统、权限等)不会影响全局系统。
从零自制docker-2-【UTS Namespace】(UTS Namespace unshare命令和unshare系统调用 root用户没有普通用户go命令的解决 使用sudo go 代码解析)
llovewuzhengzi的博客
03-03 2117
创建的新进程以及它之后的所有子进程都会包含在指定的命名空间中。unshare 命令: unshare 是一个用于从命令行运行的用户级别工具,它用来在无需启动新的 init 进程的情况下,创建独立的命名空间。总体来说,上述代码的作用是将命令的输入、输出、错误输出流重定向到当前的终端,这样运行该命令时用户可以通过终端命令交互,并且可以在终端上看到命令的输出和错误信息。标准错误是用来输出错误信息的,通过将标准错误设置到 os.Stderr,命令的错误信息将被直接显示在当前的错误输出设备上,通常也是终端。
在CentOS中使用setns系统调用
s1986q的专栏
02-22 3679
系统调用setns是内核在3.0引入的一个新的系统调用,参考http://kernelnewbies.org/Linux_3.0#head-69fb31d5d1d284f3a95e56d0ec43a2b23c30c4f3 centos6.5的内核支持该系统调用,但用户态的glibc(2.12)并不支持该系统调用。 考虑下面的示例,引自http://man7.org/linux/man-pa
setns对当前进程无效问题的排查(getpid获取值不变)
Pencc的专栏
03-19 1234
1)复现流程及lxc的处理 demo1程序执行结果如下,此时在容器内部看不到执行的程序。 int main() { int ret, fd, pid; printf("father pid old:%d\n", getpid()); fd = open("/dev/ns", O_RDWR); ret = ioctl(fd, 24635); // parm is dst ns proces...
linux namespace
weixin_46477079的博客
11-21 865
linux中namespace作用
Linux】资源隔离机制 — 命名空间(Namespace)详解
卜及中的博客
12-23 3030
Namespace(命名空间)是 Linux 内核提供的一种资源隔离机制。它允许将系统资源分隔成多个虚拟的“空间”,每个命名空间内的进程只能访问该命名空间下的资源,而不能访问其他命名空间中的资源。通过namespace,不同的进程可以在同一个操作系统内共享硬件资源,但又能感知到各自独立的环境。具体来说,namespace可以将一个或多个进程的资源隔离到同一个命名空间中,确保这些进程只能看到和操作该命名空间内的资源。
Docker核心原理(Docker背后的内核知识)
吃四碗饭的嘤嘤怪的博客
12-09 2261
Docker容器本质上是宿主机上的进程。Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。 namespace资源隔离 完成一个基本容器需要六项隔离,Linux内核中提供了这六种隔离的系统调用: namespace的六项隔离 namespace 系统调用参数 隔...
Docker原理之隔离篇 --- namespace隔离简介
Jung_zhang的专栏
06-01 2353
Linux内核提供的一种隔离机制,Docker就是使用内核namespace的隔离机制来实现对应的资源隔离。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值