errore rapporto di concessione dopo l'annullamento della condivisione

Question

Ho un piccolo programma, che tenta di creare uno pseudoterminale dopo unshare. l'output è:

uid before unshare:5000 
uid after unshare:0 
Grant pt Error: : Permission denied 

Il Codice:

#define _GNU_SOURCE 

#include <sys/mount.h> 
#include <unistd.h> 
#include <stdlib.h> 
#include <stdio.h> 
#include <fcntl.h> 
#include <errno.h> 
#include <sched.h> 

void set_uid_map(pid_t pid, int inside_id, int outside_id, int length) { 
    char path[256]; 
    sprintf(path, "/proc/%d/uid_map", getpid()); 
    FILE* uid_map = fopen(path, "w"); 
    fprintf(uid_map, "%d %d %d", inside_id, outside_id, length); 
    fclose(uid_map); 
} 
void set_gid_map(pid_t pid, int inside_id, int outside_id, int length) { 
    char path[256]; 
    sprintf(path, "/proc/%d/gid_map", getpid()); 
    FILE* gid_map = fopen(path, "w"); 
    fprintf(gid_map, "%d %d %d", inside_id, outside_id, length); 
    fclose(gid_map); 
} 

int main(void) 
{ 
int master; 
int flag = 0; 

flag |= CLONE_NEWUSER; 
flag |= CLONE_NEWNS; 
flag |= CLONE_NEWIPC; 
flag |= CLONE_NEWNET; 
flag |= CLONE_NEWUTS; 
flag |= CLONE_NEWPID; 

printf("uid before unshare:%d \n", (int) getuid()); 
unshare(flag); 

set_uid_map(getpid(), 0, 5000, 1); 
set_gid_map(getpid(), 0, 5000, 1); 

printf("uid after unshare:%d \n", (int) getuid()); 

if ((master = posix_openpt(O_RDWR | O_NOCTTY)) < 0) 
     perror("Openpt Error: "); 
if (grantpt(master) < 0) 
     perror("Grant pt Error: "); 
unlockpt(master); 


return 0; 
} // main 

Se rimuovo flag |= CLONE_NEWUSER;, non c'è errore segnalato. Puoi aiutare a spiegare perché questo accade? Grazie in anticipo!

Answer 1

Dal momento che ho avuto lo stesso problema, ho esaminato anche questo. Qui ci sono i miei risultati:

grantpt(3) cerca di assicurare che la pseudo terminale slave ha il suo gruppo impostato alla speciale tty gruppo (o qualsiasi altra cosa è TTY_GROUP durante la compilazione di glibc):

static int tty_gid = -1; 
if (__glibc_unlikely (tty_gid == -1)) 
    { 
    char *grtmpbuf; 
    struct group grbuf; 
    size_t grbuflen = __sysconf (_SC_GETGR_R_SIZE_MAX); 
    struct group *p; 

    /* Get the group ID of the special `tty' group. */ 
    if (grbuflen == (size_t) -1L) 
     /* `sysconf' does not support _SC_GETGR_R_SIZE_MAX. 
     Try a moderate value. */ 
     grbuflen = 1024; 
    grtmpbuf = (char *) __alloca (grbuflen); 
    __getgrnam_r (TTY_GROUP, &grbuf, grtmpbuf, grbuflen, &p); 
    if (p != NULL) 
     tty_gid = p->gr_gid; 
    } 
gid_t gid = tty_gid == -1 ? __getgid() : tty_gid; 

/* Make sure the group of the device is that special group. */ 
if (st.st_gid != gid) 
    { 
    if (__chown (buf, uid, gid) < 0) 
     goto helper; 
    } 

Vedi https://sourceware.org/git/?p=glibc.git;a=blob;f=sysdeps/unix/grantpt.c;h=c04c85d450f9296efa506121bcee022afda3e2dd;hb=HEAD#l137.

Sul mio sistema, il gruppo tty è 5. Tuttavia, quel gruppo non è mappato nello spazio dei nomi utente e il chown(2) non riesce perché il GID 5 non esiste. quindi glibc torna a eseguire l'helper pt_chown, che fallisce anche. Non ho esaminato i dettagli del perché non funziona, ma suppongo sia perché è setuid nessuno a meno che non abbia mappato l'utente root al tuo spazio dei nomi utente. Ecco uscita strace che mostra il funzionamento in mancanza:

[pid 30] chown("/dev/pts/36", 1000, 5) = -1 EINVAL (Invalid argument) 

L'ti dà un paio di metodi per aggirare questo problema:

• mappare i gruppi richiesti (cioè tty), che non può essere possibile senza CAP_SYS_ADMIN nel file binario che apre lo spazio dei nomi utente
• Utilizzare i sottovettori e le sottoprogrammi insieme a newuidmap(1) e newgidmap(1) per rendere disponibili questi gruppi (potrebbe funzionare, ma non l'ho provato).
• Apportare le modifiche che evitano l'errore della chiamata chown(2), ad es. utilizzando uno spazio dei nomi di montaggio e modificando il GID del gruppo tty in /etc/groups nel GID dell'utente.
• Evitare la chiamata chown(2), ad es. rendendo falso il controllo st.st_gid != gid; ciò dovrebbe essere possibile eliminando il gruppo tty dallo spazio dei nomi di mount di destinazione /etc/groups. Certo, ciò potrebbe causare altri problemi.