| SETNS(2) | Руководство программиста Linux | SETNS(2) |
ИМЯ¶
setns - повторно связывает нить с пространством имён
СИНТАКСИС¶
#define _GNU_SOURCE /* Смотрите feature_test_macros(7) */ #include <sched.h>
int setns(int fd, int nstype);
ОПИСАНИЕ¶
Указанный файловый дескриптор, ссылающийся на пространство имён, повторно связывается (reassociate) в вызвавшей нити с этим пространством имён.
Аргумент fd представляет собой файловый дескриптор, ссылающийся на одно из элементов пространств имён в каталоге /proc/[pid]/ns/; подробней о /proc/[pid]/ns/ смотрите в namespaces(7). Вызывающая нить будет повторно связана с соответствующим пространством имён с учётом всех ограничений, устанавливаемых аргументом nstype.
В аргументе nstype указывается тип пространства имён, с которым вызывающая нить может быть повторно связана. Данный аргумент может иметь одно из следующих значений:
- 0
- Разрешить подключиться к пространству имён любого типа.
- CLONE_NEWCGROUP (начиная с Linux 4.6)
- Значение fd должно указывать на пространство имён cgroup.
- CLONE_NEWIPC (начиная с Linux 3.0)
- Значение fd должно указывать на пространство имён IPC.
- CLONE_NEWNET (начиная с Linux 3.0)
- Значение fd должно указывать на пространство имён network.
- CLONE_NEWNS (начиная с Linux 3.8)
- Значение fd должно указывать на пространство имён mount.
- CLONE_NEWPID (начиная с Linux 3.8)
- Значение fd должно указывать на пространство имён PID потомков.
- CLONE_NEWUSER (начиная с Linux 3.8)
- Значение fd должно указывать на пространство имён user.
- CLONE_NEWUTS (начиная с Linux 3.0)
- Значение fd должно указывать на пространство имён UTS.
Установка nstype в 0 имеет смысл только, если вызывающий знает (или ему не важно) на какой тип пространства имён ссылается fd. Назначение ненулевого значения в nstype полезно, если вызывающий не знает на какой тип пространства имён ссылается fd. и хочет быть уверенным, что пространство имён именно нужного типа (вызывающий может не знать тип пространства имён на который указывает fd, если файловый дескриптор был открыт другим процессом и, например, передан вызывающему через доменный сокет UNIX).
If fd refers to a PID namespaces, the semantics are somewhat different from other namespace types: reassociating the calling thread with a PID namespace changes only the PID namespace that subsequently created child processes of the caller will be placed in; it does not change the PID namespace of the caller itself. Reassociating with a PID namespace is allowed only if the PID namespace specified by fd is a descendant (child, grandchild, etc.) of the PID namespace of the caller. For further details on PID namespaces, see pid_namespaces(7).
A process reassociating itself with a user namespace must have the CAP_SYS_ADMIN capability in the target user namespace. Upon successfully joining a user namespace, a process is granted all capabilities in that namespace, regardless of its user and group IDs. A multithreaded process may not change user namespace with setns(). It is not permitted to use setns() to reenter the caller's current user namespace. This prevents a caller that has dropped capabilities from regaining those capabilities via a call to setns(). For security reasons, a process can't join a new user namespace if it is sharing filesystem-related attributes (the attributes whose sharing is controlled by the clone(2) CLONE_FS flag) with another process. For further details on user namespaces, see user_namespaces(7).
A process may not be reassociated with a new mount namespace if it is multithreaded. Changing the mount namespace requires that the caller possess both CAP_SYS_CHROOT and CAP_SYS_ADMIN capabilities in its own user namespace and CAP_SYS_ADMIN in the target mount namespace. See user_namespaces(7) for details on the interaction of user namespaces and mount namespaces.
Использование setns() для изменения пространства имён cgroup вызывающего не изменяет членство cgroup вызывающего.
ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ¶
При успешном выполнении setns() возвращает 0. При ошибке возвращается -1, и errno устанавливается в соответствующее значение.
ОШИБКИ¶
- EBADF
- Значение fd не является правильным файловым дескриптором.
- EINVAL
- Значение fd ссылается на пространство имён, чей тип не соответствует с указанным в nstype.
- EINVAL
- Эти проблемы возникают при повторном связывании нити с указанным пространством имён.
- EINVAL
- Вызывающий пытается объединиться с пространством имён PID предка (родителя, родителя родителя и т. д.).
- EINVAL
- Вызывающий пытается объединиться с пространством имён пользователя, в которое он уже входит.
- EINVAL
- Вызывающий сообща владеет состоянием файловой системы (CLONE_FS) (в частности, корневой каталог) с другим процессом и пытается объединить новое пользовательское пространство имён.
- EINVAL
- Вызывающий состоит из нескольких нитей и пытается объединить новое пользовательское пространство имён.
- ENOMEM
- Невозможно выделить достаточно памяти для изменения указанного пространства имён.
- EPERM
- Вызывающая нить не имеет требуемого мандата для этой операции.
ВЕРСИИ¶
Системный вызов setns() впервые появился в ядре Linux версии 3.0; поддержка в glibc добавлена в версии 2.14.
СООТВЕТСТВИЕ СТАНДАРТАМ¶
Системный вызов setns() есть только в Linux.
ЗАМЕЧАНИЯ¶
Не все атрибуты, которыми можно владеть сообща при создании новой нити с помощью using clone(2), можно изменить с помощью setns().
ПРИМЕР¶
Программа, представленная ниже, ожидает два и более аргументов. В первом аргумент указывается путь к файлу пространства имён в существующем каталоге /proc/[pid]/ns/. В остальных аргументах указывается команда и её параметры. Программа открывает файл пространства имён, объединяет это пространство имён с помощью setns() и выполняет указанную команду внутри этого пространства имён.
В следующем сеансе оболочки показано использование этой программы (скомпилирована под именем ns_exec) вместе с примером для CLONE_NEWUTS из справочной страницы clone(2) (скомпилирована под именем newuts).
Сначала мы запускаем программу из clone(2) в фоновом режиме. Эта программа создаёт потомка в отдельном пространстве имён UTS. Потомок изменяет имя узла в своём пространстве имён, а затем оба процесса отображают имена узлов в своих пространствах имён UTS для того, чтобы мы увидели, что они разные.
$ su # Требуются права для выполнения
# операций с пространством имён Password: # ./newuts bizarro & [1] 3549 clone() returned 3550 uts.nodename in child: bizarro uts.nodename in parent: antero # uname -n # проверяем имя узла в оболочке antero
Затем мы запускаем программу, показанную ниже, используя ту же оболочку. Внутри этой оболочки мы проверяем, что имя узла — одно из изменённых потомком, созданным первой программой:
# ./ns_exec /proc/3550/ns/uts /bin/bash # uname -n # выполняется в оболочке, запущенной ns_exec bizarro
Исходный код программы¶
#define _GNU_SOURCE
#include <fcntl.h>
#include <sched.h>
#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>
#define errExit(msg) do { perror(msg); exit(EXIT_FAILURE); \
} while (0)
int
main(int argc, char *argv[])
{
int fd;
if (argc < 3) {
fprintf(stderr, "%s /proc/PID/ns/FILE команда аргументы…\n", argv[0]);
exit(EXIT_FAILURE);
}
fd = open(argv[1], O_RDONLY); /* получаем файловый дескриптор для пространства
имён */
if (fd == -1)
errExit("open");
if (setns(fd, 0) == -1) /* объединяемся с этим пространством имён */
errExit("setns");
execvp(argv[2], &argv[2]); /* выполняем команду в пространстве имён */
errExit("execvp");
}
СМ. ТАКЖЕ¶
nsenter(1), clone(2), fork(2), unshare(2), vfork(2), namespaces(7), unix(7)
ЗАМЕЧАНИЯ¶
Эта страница является частью проекта Linux man-pages версии 4.16. Описание проекта, информацию об ошибках и последнюю версию этой страницы можно найти по адресу https://www.kernel.org/doc/man-pages/.
ПЕРЕВОД¶
Русский перевод этой страницы руководства был сделан Alexander Golubev <fatzer2@gmail.com>, Azamat Hackimov <azamat.hackimov@gmail.com>, Hotellook, Nikita <zxcvbnm3230@mail.ru>, Spiros Georgaras <sng@hellug.gr>, Vladislav <ivladislavefimov@gmail.com>, Yuri Kozlov <yuray@komyakino.ru> и Иван Павлов <pavia00@gmail.com>
Этот перевод является бесплатной документацией; прочитайте Стандартную общественную лицензию GNU версии 3 или более позднюю, чтобы узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ.
Если вы обнаружите ошибки в переводе этой страницы руководства, пожалуйста, отправьте электронное письмо на man-pages-ru-talks@lists.sourceforge.net.
| 15 сентября 2017 г. | Linux |