当我运行时,如果我运行的用户与侦听进程是同一用户,ss -nltp我只能看到进程/pid 信息,这是正常行为还是错误?ss -nltp
$ docker run -it --rm tianon/network-toolbox
root@bc058746626a:/# apt update
...
root@bc058746626a:/# apt install gosu
...
root@bc058746626a:/# nc -l 4444
[... check ss in another terminal]
^C
root@bc058746626a:/# gosu nobody nc -l 4444
....
$ docker exec -it admiring_keller bash
$ # both running as root
root@bc058746626a:/# ss -nltp
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 1 0.0.0.0:4444 0.0.0.0:* users:(("nc",pid=325,fd=3))
$ # process running as nobody, ss as root
root@bc058746626a:/# ss -nltp
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 1 0.0.0.0:4444 0.0.0.0:*
$ # process still as nobody , ss as nobody
root@bc058746626a:/# gosu nobody ss -nltp
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 1 0.0.0.0:4444 0.0.0.0:* users:(("nc",pid=343,fd=3))
root@bc058746626a:/# exit
$ # process still as nobody , ss as nobody
$ docker exec -it --user nobody admiring_keller bash
nobody@bc058746626a:/$ ss -nltp
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 1 0.0.0.0:4444 0.0.0.0:* users:(("nc",pid=343,fd=3))
nobody@bc058746626a:/$ ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 4764 4124 pts/0 SNs 16:42 0:00 bash --login -i
nobody 343 0.0 0.0 3204 864 pts/0 SN+ 16:45 0:00 nc -l 4444
nobody 369 0.0 0.0 3872 3152 pts/1 SNs 16:50 0:00 bash
nobody 377 0.0 0.0 7644 2708 pts/1 RN+ 16:54 0:00 ps aux
答案1
对于普通用户来说这是正常行为。为了能够将套接字与进程关联,在某些时候,/proc/<pid>/fd/必须由 读取ss。只有同一用户或特权进程(包括以 root 身份运行)才能访问此内容。
以下是关于 Docker 外部发生的事情的 strace 摘录。
# runuser -u test -- sh -c 'echo $$; exec socat tcp4-listen:5555,reuseaddr -'
445406
以及旁边:
user@host$ strace ss -tlnp sport == 5555 2>&1 |egrep -w '445406|^LISTEN'
openat(AT_FDCWD, "/proc/445406/attr/current", O_RDONLY|O_CLOEXEC) = 4
openat(AT_FDCWD, "/proc/445406/fd/", O_RDONLY|O_NONBLOCK|O_CLOEXEC|O_DIRECTORY) = -1 EACCES (Permission denied)
LISTEN 0 5 0.0.0.0:5555 0.0.0.0:*
无拘无束的根用户不会获得 EACCESS,但可以访问所需的信息,并且最终能够显示 PID。
但 Docker 不运行为普通的 根用户: 一些能力(能力是一部分根“权力”。根默认情况下所有这些)都被删除了。也正因为如此根容器中的用户会遇到与普通用户相同的错误,无法访问将套接字关联到进程所需的信息。
root@1589d8b38814:/# apt install libcap2-bin
[...]
oot@1589d8b38814:/# cat /proc/$$/status|grep ^Cap
CapInh: 00000000a80425fb
CapPrm: 00000000a80425fb
CapEff: 00000000a80425fb
CapBnd: 00000000a80425fb
CapAmb: 0000000000000000
root@1589d8b38814:/# capsh --decode=00000000a80425fb
0x00000000a80425fb=cap_chown,cap_dac_override,cap_fowner,cap_fsetid,
cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,
cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap
虽然实际根用户或在特权模式下运行 Docker 容器时 ( --privileged):
root@cce7fc1de1c3:/# cat /proc/$$/status |grep ^Cap
CapInh: 0000003fffffffff
CapPrm: 0000003fffffffff
CapEff: 0000003fffffffff
CapBnd: 0000003fffffffff
CapAmb: 0000000000000000
root@cce7fc1de1c3:/# capsh --decode=0000003fffffffff
0x0000003fffffffff=cap_chown,cap_dac_override,cap_dac_read_search,
cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,
cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,
cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,
cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,
cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,
cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,
cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,
cap_block_suspend,cap_audit_read
多得多。
这里的丢弃cap_sys_ptrace(影响 中的访问/proc)足以使其脱轨。请注意,非特权 Docker 容器不会cap_sys_ptrace向其 root 用户提供权限。
socat 以 pid 392 的无人身份运行,旁边还有一个特权 docker root 用户:
root@df29c4a57b3f:/# capsh --inh= --caps= -- -c 'ss -tlnp sport == 5555'
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 5 0.0.0.0:5555 0.0.0.0:* users:(("socat",pid=392,fd=5))
root@df29c4a57b3f:/# capsh --drop=cap_sys_ptrace --inh= --caps= -- -c 'ss -tlnp sport == 5555'
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 5 0.0.0.0:5555 0.0.0.0:*