iproute2 ss - 如果用户与侦听进程不是同一用户,则不显示进程/pid 信息?

iproute2 ss - 如果用户与侦听进程不是同一用户,则不显示进程/pid 信息?

当我运行时,如果我运行的用户与侦听进程是同一用户,ss -nltp我只能看到进程/pid 信息,这是正常行为还是错误?ss -nltp

$ docker run -it --rm tianon/network-toolbox
root@bc058746626a:/# apt update
...
root@bc058746626a:/# apt install gosu
...
root@bc058746626a:/# nc -l 4444
[... check ss in another terminal]
^C
root@bc058746626a:/# gosu nobody nc -l 4444
....


$ docker exec -it admiring_keller bash
$ # both running as root
root@bc058746626a:/# ss -nltp
State     Recv-Q     Send-Q         Local Address:Port         Peer Address:Port    
LISTEN    0          1                    0.0.0.0:4444              0.0.0.0:*        users:(("nc",pid=325,fd=3))
$ # process running as nobody, ss as root
root@bc058746626a:/# ss -nltp
State     Recv-Q     Send-Q         Local Address:Port         Peer Address:Port    
LISTEN    0          1                    0.0.0.0:4444              0.0.0.0:*       
$ # process still as nobody , ss as nobody
root@bc058746626a:/# gosu nobody ss -nltp
State     Recv-Q     Send-Q         Local Address:Port         Peer Address:Port    
LISTEN    0          1                    0.0.0.0:4444              0.0.0.0:*        users:(("nc",pid=343,fd=3))
root@bc058746626a:/# exit
$ # process still as nobody , ss as nobody
$ docker exec -it --user nobody admiring_keller bash
nobody@bc058746626a:/$ ss -nltp
State     Recv-Q     Send-Q         Local Address:Port         Peer Address:Port    
LISTEN    0          1                    0.0.0.0:4444              0.0.0.0:*        users:(("nc",pid=343,fd=3))
nobody@bc058746626a:/$ ps aux
USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root           1  0.0  0.0   4764  4124 pts/0    SNs  16:42   0:00 bash --login -i
nobody       343  0.0  0.0   3204   864 pts/0    SN+  16:45   0:00 nc -l 4444
nobody       369  0.0  0.0   3872  3152 pts/1    SNs  16:50   0:00 bash
nobody       377  0.0  0.0   7644  2708 pts/1    RN+  16:54   0:00 ps aux

有关的:https://stackoverflow.com/questions/68085747/why-would-a-process-not-be-linked-with-a-port-when-using-gosu

答案1

对于普通用户来说这是正常行为。为了能够将套接字与进程关联,在某些时候,/proc/<pid>/fd/必须由 读取ss。只有同一用户或特权进程(包括以 root 身份运行)才能访问此内容。

以下是关于 Docker 外部发生的事情的 strace 摘录。

# runuser -u test -- sh -c 'echo $$; exec socat tcp4-listen:5555,reuseaddr -'
445406

以及旁边:

user@host$ strace ss -tlnp sport == 5555 2>&1 |egrep -w '445406|^LISTEN'
openat(AT_FDCWD, "/proc/445406/attr/current", O_RDONLY|O_CLOEXEC) = 4
openat(AT_FDCWD, "/proc/445406/fd/", O_RDONLY|O_NONBLOCK|O_CLOEXEC|O_DIRECTORY) = -1 EACCES (Permission denied)
LISTEN    0         5                  0.0.0.0:5555             0.0.0.0:*       

无拘无束的用户不会获得 EACCESS,但可以访问所需的信息,并且最终能够显示 PID。

但 Docker 不运行为普通的 用户: 一些能力(能力是一部分“权力”。默认情况下所有这些)都被删除了。也正因为如此容器中的用户会遇到与普通用户相同的错误,无法访问将套接字关联到进程所需的信息。

root@1589d8b38814:/# apt install libcap2-bin
[...]
oot@1589d8b38814:/# cat /proc/$$/status|grep ^Cap
CapInh: 00000000a80425fb
CapPrm: 00000000a80425fb
CapEff: 00000000a80425fb
CapBnd: 00000000a80425fb
CapAmb: 0000000000000000
root@1589d8b38814:/# capsh --decode=00000000a80425fb
0x00000000a80425fb=cap_chown,cap_dac_override,cap_fowner,cap_fsetid,
cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,
cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap

虽然实际用户或在特权模式下运行 Docker 容器时 ( --privileged):

root@cce7fc1de1c3:/# cat /proc/$$/status |grep ^Cap
CapInh: 0000003fffffffff
CapPrm: 0000003fffffffff
CapEff: 0000003fffffffff
CapBnd: 0000003fffffffff
CapAmb: 0000000000000000
root@cce7fc1de1c3:/# capsh --decode=0000003fffffffff
0x0000003fffffffff=cap_chown,cap_dac_override,cap_dac_read_search,
cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,
cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,
cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,
cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,
cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,
cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,
cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,
cap_block_suspend,cap_audit_read

多得多。

这里的丢弃cap_sys_ptrace(影响 中的访问/proc)足以使其脱轨。请注意,非特权 Docker 容器不会cap_sys_ptrace向其 root 用户提供权限。

socat 以 pid 392 的无人身份运行,旁边还有一个特权 docker root 用户:

root@df29c4a57b3f:/# capsh --inh= --caps= -- -c 'ss -tlnp sport == 5555'
State     Recv-Q    Send-Q       Local Address:Port        Peer Address:Port    
LISTEN    0         5                  0.0.0.0:5555             0.0.0.0:*        users:(("socat",pid=392,fd=5))
root@df29c4a57b3f:/# capsh --drop=cap_sys_ptrace --inh= --caps= -- -c 'ss -tlnp sport == 5555'
State     Recv-Q    Send-Q       Local Address:Port        Peer Address:Port    
LISTEN    0         5                  0.0.0.0:5555             0.0.0.0:*       

相关内容