ошибка отчета о предоставлении отчета после unshare

Question

У меня есть небольшая программа, которая пытается создать псевдотерминал после того, как он не разобрался. выход:

uid before unshare:5000 
uid after unshare:0 
Grant pt Error: : Permission denied 

Кодекс:

#define _GNU_SOURCE 

#include <sys/mount.h> 
#include <unistd.h> 
#include <stdlib.h> 
#include <stdio.h> 
#include <fcntl.h> 
#include <errno.h> 
#include <sched.h> 

void set_uid_map(pid_t pid, int inside_id, int outside_id, int length) { 
    char path[256]; 
    sprintf(path, "/proc/%d/uid_map", getpid()); 
    FILE* uid_map = fopen(path, "w"); 
    fprintf(uid_map, "%d %d %d", inside_id, outside_id, length); 
    fclose(uid_map); 
} 
void set_gid_map(pid_t pid, int inside_id, int outside_id, int length) { 
    char path[256]; 
    sprintf(path, "/proc/%d/gid_map", getpid()); 
    FILE* gid_map = fopen(path, "w"); 
    fprintf(gid_map, "%d %d %d", inside_id, outside_id, length); 
    fclose(gid_map); 
} 

int main(void) 
{ 
int master; 
int flag = 0; 

flag |= CLONE_NEWUSER; 
flag |= CLONE_NEWNS; 
flag |= CLONE_NEWIPC; 
flag |= CLONE_NEWNET; 
flag |= CLONE_NEWUTS; 
flag |= CLONE_NEWPID; 

printf("uid before unshare:%d \n", (int) getuid()); 
unshare(flag); 

set_uid_map(getpid(), 0, 5000, 1); 
set_gid_map(getpid(), 0, 5000, 1); 

printf("uid after unshare:%d \n", (int) getuid()); 

if ((master = posix_openpt(O_RDWR | O_NOCTTY)) < 0) 
     perror("Openpt Error: "); 
if (grantpt(master) < 0) 
     perror("Grant pt Error: "); 
unlockpt(master); 


return 0; 
} // main 

Если удалить flag |= CLONE_NEWUSER;, там не сообщается об ошибке. Не могли бы вы объяснить, почему это происходит? заранее спасибо!

Answer 1

Поскольку у меня была такая же проблема, я также рассмотрел это. Вот мои выводы:

grantpt(3) пытается гарантировать, что подчиненный псевдо терминал имеет свою группу набор специальной tty группы (или любой другой TTY_GROUP является при компиляции Glibc):

static int tty_gid = -1; 
if (__glibc_unlikely (tty_gid == -1)) 
    { 
    char *grtmpbuf; 
    struct group grbuf; 
    size_t grbuflen = __sysconf (_SC_GETGR_R_SIZE_MAX); 
    struct group *p; 

    /* Get the group ID of the special `tty' group. */ 
    if (grbuflen == (size_t) -1L) 
     /* `sysconf' does not support _SC_GETGR_R_SIZE_MAX. 
     Try a moderate value. */ 
     grbuflen = 1024; 
    grtmpbuf = (char *) __alloca (grbuflen); 
    __getgrnam_r (TTY_GROUP, &grbuf, grtmpbuf, grbuflen, &p); 
    if (p != NULL) 
     tty_gid = p->gr_gid; 
    } 
gid_t gid = tty_gid == -1 ? __getgid() : tty_gid; 

/* Make sure the group of the device is that special group. */ 
if (st.st_gid != gid) 
    { 
    if (__chown (buf, uid, gid) < 0) 
     goto helper; 
    } 

См https://sourceware.org/git/?p=glibc.git;a=blob;f=sysdeps/unix/grantpt.c;h=c04c85d450f9296efa506121bcee022afda3e2dd;hb=HEAD#l137.

В моей системе группа tty равна 5. Однако эта группа не отображается в ваше пространство имен пользователей, а ошибка chown(2) связана с тем, что GID 5 не существует. glibc затем возвращается к выполнению помощника pt_chown, что также не удается. Я не заглядывал в детали, почему это терпит неудачу, но я предполагаю, что это потому, что он не установлен, если вы не сопоставили пользователя root с вашим пространством имен пользователей. Вот Трассирование вывод, который показывает неисправную работу:

[pid 30] chown("/dev/pts/36", 1000, 5) = -1 EINVAL (Invalid argument) 

дает вам несколько способов решения этой проблемы:

• Карта необходимых групп (т.е. tty), которая не может быть возможным без CAP_SYS_ADMIN в двоичном выражении, которое открывает пространство имен пользователей
• Используйте подпункты и субгиды вместе с newuidmap(1) и newgidmap(1), чтобы сделать эти группы доступными (это может сработать, но я его не тестировал).
• Внесите изменения, которые предотвращают отказ вызова chown(2), например. используя пространство имен монтирования и изменив GID группы tty в /etc/groups на GID вашего пользователя.
• Избегайте вызова chown(2), например. сделав ошибку st.st_gid != gid false; это должно быть возможным, удалив группу tty из вашего целевого пространства имен монтирования /etc/groups. Конечно, это может вызвать другие проблемы.