Linux Container aka LXC k\u00f6nnen „unprivileged“ gestartet werden.![\"\"](\"https:\/\/blog.grenzdebiel.dynv6.net\/wordpress\/wp-content\/uploads\/2018\/05\/lxc-user-namespace-150x150.jpg\")
Das hei\u00dft das der Container als User-Prozess gestartet werden. Sollte also wirklich jemand aus den Container ausbrechen so verf\u00fcgt der b\u00f6se Benutzer nur \u00fcber die eingeschr\u00e4nkten Rechte des Benutzers der den Container gestartet hat.<\/p>\n
Ich nutze Ubuntu-Server bei anderen Distributionen kann es ein wenig abweichen wobei die Prinzipien dieselben sind.<\/p>\n
Es wird der user-namespace benutzt. Das hei\u00dft der Container wird mit der user-id des einfachen Benutzers gestartet und der Kernel mapped die user-id zur id 0 in den Conatiner. Vereinfacht gesagt der Benutzer startet ein Container mit der user.id 1001 und die Programme innerhalb des Containers laufen mit der user-id „root“(ohne dies wirklich zutun).<\/p>\n
Auch hier gibt es wieder einige Stolperfallen bzw. vorraussetzungen:<\/p>\n
Damit das mapping funktioniert ben\u00f6tigen wir noch ein paar Programme:<\/p>\n
apt install systemd-services uidmap<\/pre>\n1. Der Benutzer muss \u00fcber sub-uid und sub-gid verf\u00fcgen. Diese k\u00f6nnen mit „usermod“ erstellt werden.<\/p>\n
usermod --add-subuids 100000-165536 <lxcuser>\r\nusermod --add-subgids 100000-165536 <lxcuser><\/pre>\nIn den Dateien „\/etc\/subuid“ und „\/etc\/subgid“ sollte solch eine Zeile sein:<\/p>\n
lxcuser:100000:65537<\/pre>\n2. Wenn die Container mit Limits gestartet weden bzw. wenn diese mit cgroups eingeschr\u00e4nkt werden muss der Benutzer dies auch d\u00fcrfen. Dies kann mit einen Blick in der Datei „etc\/pam.d\/common-session“ und „\/etc\/pam.d\/common-session-noninteractive“ \u00fcberpr\u00fcft werden. Hier sollte folgende Zeile \u00e4hnlich eingetragen sein:<\/p>\n
session optional pam_cgfs.so -c freezer,memory,cpu,cpuset,name=systemd<\/pre>\nFehlt diese Zeile und der Container wird mit cgroup-limits gestartet erscheint folgende Fehlermeldung:<\/p>\n
lxc-start: cgroups\/cgfsng.c: cgfsng_setup_limits: 1971 No such file or directory - Error setting cpuset.cpus to 1 for <containername>\r\nlxc-start: start.c: lxc_spawn: 1205 Failed to setup cgroup limits for container \"<containername>\".\r\nlxc-start: start.c: __lxc_start: 1358 Failed to spawn container \"<containername>\".\r\nlxc-start: tools\/lxc_start.c: main: 366 The container failed to start.\r\nlxc-start: tools\/lxc_start.c: main: 370 Additional information can be obtained by setting the --logfile and --logpriority options.<\/pre>\n3. Da der Benutzer normalerweise nicht Netzwerkeinstellungen \u00e4ndern kann, also erstellen von veth-pairs oder das hinzuf\u00fcgen dieser zu Netzwerkbr\u00fccken, wird dies \u00fcber ein seperaten Prozess gemacht „lxc-user-nic“.<\/p>\n
Dieser Prozess parst die Konfigurationsdatei erstellt daraufhin das Netzwerkdevice und bindet es an die Netzwerkbr\u00fccke. Konfiguriert wird es in der Datei „\/etc\/lxc\/lxc-usernet“ typischerweise sieht sie wie folgt aus:<\/p>\n
#User Type Bridge Anzahl\r\n<lxcuser> veth lxcbr0 100<\/pre>\nJetzt k\u00f6nnt ihr den Benutzer wechseln und euren Container erstellen:<\/p>\n
su - <lxcuser>\r\nlxc-create -n <containername> -t download -- -d ubuntu -r bionic -a amd64<\/pre>\nWobei ihr auch eine andere Distribution und ein anderes Release w\u00e4hlen k\u00f6nnt. Wenn alles gut gegangen ist startet ihr den Container einfach mittels:<\/p>\n
lxc-start -n <containername> -d<\/pre>\nWechselt nun in den Container mit z.b.:<\/p>\n
lxc-attach -n <containername><\/pre>\nRuft „top“ auf und ihr seht das die Prozesse innerhalb des Container als Benutzer „root“ laufen.<\/p>\n
Wie ihr den Container konfiguriert und mit cgroup-limits einschr\u00e4nkt wurde ja schon behandelt.<\/p>\n
Bestehende Container k\u00f6nnen meist mit einer kleinen Anpassung der Datei „config“ so ge\u00e4ndert werden das diese auch unprivileged laufen:<\/p>\n
# if you use ubuntu in container\r\nlxc.include = \/usr\/share\/lxc\/config\/ubuntu.common.conf\r\nlxc.include = \/usr\/share\/lxc\/config\/ubuntu.userns.conf\r\n\r\nlxc.include = \/etc\/lxc\/default.conf\r\nlxc.id_map = u 0 100000 65537\r\nlxc.id_map = g 0 100000 65537<\/pre>\n