Comment commencer à utiliser le mode utilisateur sous Linux

Introduction du traducteur: Dans le contexte de l'entrée massive dans notre vie de différents types de conteneurs, il peut être très intéressant et utile de découvrir avec quelles technologies tout a commencé une fois. Certaines d'entre elles peuvent être utilisées à ce jour, mais tout le monde ne se souvient pas de telles méthodes (ou sait si elles n'ont pas été trouvées lors de leur développement rapide). L'une de ces technologies est le mode utilisateur Linux. L'auteur de l'original a farfouillé, trouvant ce qui fonctionnait encore et ce qui ne fonctionnait pas beaucoup, et a rassemblé quelque chose comme une instruction étape par étape sur la façon de démarrer UML maison en 2k19 pour moi-même. Et oui, nous avons invité l'auteur du post original de Cadey à Habr , donc si vous avez des questions, posez-les en anglais dans les commentaires.



Le mode utilisateur Linux est, en fait, le port du noyau Linux lui-même. Ce mode vous permet d'exécuter un noyau Linux à part entière en tant que processus utilisateur et est généralement utilisé par les développeurs pour tester les pilotes. Mais ce mode est également utile comme outil d'isolement général, dont le principe est similaire au fonctionnement des machines virtuelles. Ce mode offre plus d'isolement que Docker, mais moins qu'une machine virtuelle à part entière comme KVM ou Virtual Box.

En général, le mode utilisateur peut sembler étrange et difficile à utiliser, mais il a toujours ses propres domaines d'application. Après tout, c'est un noyau Linux à part entière, travaillant à partir d'un utilisateur non privilégié. Cette fonctionnalité vous permet d'exécuter du code potentiellement non fiable sans aucune menace pour la machine hôte. Et comme il s'agit d'un noyau à part entière, ses processus sont isolés de la machine hôte, c'est-à-dire que les processus exécutés en mode utilisateur ne seront pas visibles pour l'hôte . Ce n'est pas comme le conteneur Docker habituel, auquel cas la machine hôte voit toujours les processus à l'intérieur du référentiel. Jetez un œil à ce morceau de pstree depuis l'un de mes serveurs:

containerd─┬─containerd-shim─┬─tini─┬─dnsd───19*[{dnsd}] │ │ └─s6-svscan───s6-supervise │ └─10*[{containerd-shim}] ├─containerd-shim─┬─tini─┬─aerial───21*[{aerial}] │ │ └─s6-svscan───s6-supervise │ └─10*[{containerd-shim}] ├─containerd-shim─┬─tini─┬─s6-svscan───s6-supervise │ │ └─surl │ └─9*[{containerd-shim}] ├─containerd-shim─┬─tini─┬─h───13*[{h}] │ │ └─s6-svscan───s6-supervise │ └─10*[{containerd-shim}] ├─containerd-shim─┬─goproxy───14*[{goproxy}] │ └─9*[{containerd-shim}] └─32*[{containerd}] 

Et comparez cela au noyau Linux pstree en mode utilisateur:

 linux─┬─5*[linux] └─slirp 

Lorsque je travaille avec des conteneurs Docker, je peux voir les noms des processus qui s'exécutent sur le système invité à partir de l'hôte. Avec le mode utilisateur Linux, ce n'est pas possible. Qu'est-ce que cela signifie? Cela signifie que les outils de surveillance qui fonctionnent via le sous-système d'audit de Linux ne voient pas les processus s'exécuter sur le système invité. Mais dans certaines situations, cette fonction peut devenir une épée à double tranchant.

En général, l'intégralité du post ci-dessous est un ensemble d'études et de tentatives grossières pour obtenir le résultat souhaité. Pour ce faire, j'ai dû utiliser divers outils anciens, lire les sources du noyau, déboguer intensivement le code écrit alors que j'étais encore à l'école primaire, et aussi parcourir les assemblages Heroku à l'aide d'un binaire spécial à la recherche des outils dont j'avais besoin. Tout ce travail a amené les gars de mon IRC à m'appeler magique. J'espère que ce message servira de documentation fiable à quelqu'un afin de tout lancer de la même manière, mais avec des noyaux et des versions de système d'exploitation plus récents.

Personnalisation

La configuration du mode utilisateur Linux prend plusieurs étapes:

• installation de dépendances sur l'hôte;
• Téléchargement du noyau Linux
• configuration de l'assemblage du noyau;
• assemblage du noyau;
• installation binaire;
• configuration du système de fichiers invité;
• sélection des paramètres de lancement du noyau;
• configuration du réseau invité;
• démarrage du noyau invité.

Je suppose que si vous décidez de tout lancer vous-même, vous ferez probablement tout ce qui est décrit dans certains systèmes Ubuntu ou Debian. J'ai essayé d'implémenter tout ce qui précède dans ma distribution préférée - Alpine, mais rien n'en est sorti, apparemment, car le noyau Linux avait une liaison stricte sur les glibc-isms pour les pilotes en mode utilisateur. J'ai l'intention de signaler cela à l'amont après avoir enfin compris le problème.

Installer les dépendances sur l'hôte

Ubuntu nécessite au moins les packages suivants pour construire le noyau Linux (à condition d'une installation propre):

- 'build-essential'
- 'flex'
- 'bison'
- 'xz-utils'
- 'wget'
- 'ca-certificates'
- 'bc'
- 'linux-headers'

Vous pouvez les installer en utilisant la commande suivante (avec les privilèges root ou en utilisant sudo):

 apt-get -y install build-essential flex bison xz-utils wget ca-certificates bc \ linux-headers-$(uname -r) 

Notez que l'exécution du programme de configuration du menu pour le noyau Linux nécessitera l'installation de libncurses-dev . Veuillez vous assurer qu'il est installé à l'aide de la commande suivante (avec les privilèges root ou avec sudo):

 apt-get -y install libncurses-dev 

Téléchargement du noyau

Déterminez l'emplacement de chargement et d'assemblage ultérieur du noyau. Pour cette opération, vous devrez allouer environ 1,3 Go d'espace disque dur, alors assurez-vous d'en avoir un.

Allez ensuite sur kernel.org et obtenez l'URL pour télécharger la dernière version stable du noyau. Au moment de la rédaction de cet article: https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.1.16.tar.xz

Téléchargez ce fichier en utilisant 'wget' :

 wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.1.16.tar.xz 

Et extrayez-le avec 'tar' :

 tar xJf linux-5.1.16.tar.xz 

Maintenant, nous entrons dans le répertoire créé lors du déballage de l'archive tar:

 cd linux-5.1.16 

Configuration de la construction du noyau

Le système de construction du noyau est une collection de Makefiles avec de nombreux outils et scripts personnalisés pour automatiser le processus. Pour commencer, ouvrez le programme d'installation en ligne:

 make ARCH=um menuconfig 

Il terminera partiellement l'assemblage et affichera une boîte de dialogue pour vous. Lorsque « [Select] » s'affiche en bas de la fenêtre, vous pouvez effectuer la configuration à l'aide des touches Espace ou Entrée. Navigation sur la fenêtre, comme d'habitude, avec les flèches haut et bas du clavier, et la sélection des éléments - «gauche» ou «droite».

Un pointeur de vue ---> signifie que vous vous trouvez dans un sous-menu accessible par la touche Entrée. Le moyen de s'en sortir est évidemment par « [Exit] ».

Incluez les paramètres suivants dans « [Select] » et assurez-vous qu'il y a un symbole «[*]» à côté d'eux:

 UML-specific Options: - Host filesystem Networking support (enable this to get the submenu to show up): - Networking options: - TCP/IP Networking UML Network devices: - Virtual network device - SLiRP transport 

Tout de cette fenêtre peut être quitté en sélectionnant séquentiellement « [Exit] ». Assurez-vous simplement qu'à la fin, vous êtes invité à enregistrer la configuration et sélectionnez « [Yes] ».

Je vous recommande de jouer avec les options de construction du noyau après avoir lu ce post. Grâce à ces expériences, vous pouvez en apprendre beaucoup en termes de compréhension du travail de la mécanique du noyau de bas niveau et de l'influence de différents drapeaux sur son assemblage.

Assemblage du noyau

Le noyau Linux est un excellent programme qui fait beaucoup de choses. Même avec une configuration aussi minimale sur un ancien équipement, son assemblage peut prendre un certain temps. Par conséquent, créez le noyau avec la commande suivante:

 make ARCH=um -j$(nproc) 

Pourquoi? Cette commande indiquera à notre assembleur d'utiliser tous les cœurs et threads de processeur disponibles pendant le processus de génération. La commande $(nproc) à la fin de Build remplace la sortie de la nproc , qui fait partie de coreutils dans la build Ubuntu standard.

Après un certain temps, notre noyau sera compilé dans un fichier exécutable ./linux .

Installation binaire

Puisque le mode utilisateur sur Linux crée un binaire normal, vous pouvez l'installer comme n'importe quel autre utilitaire. Voici comment je l'ai fait:

 mkdir -p ~/bin cp linux ~/bin/linux 

Cela vaut également la peine de vérifier que ~/bin est dans votre $PATH :

 export PATH=$PATH:$HOME/bin 

Configuration du système de fichiers invité

Créez un répertoire pour le système de fichiers invité:

 mkdir -p $HOME/prefix/uml-demo cd $HOME/prefix 

Ouvrez alpinelinux.org et dans la section des téléchargements, trouvez le lien actuel pour télécharger MINI ROOT FILESYSTEM . Au moment d'écrire ces lignes, c'était:

 http://dl-cdn.alpinelinux.org/alpine/v3.10/releases/x86_64/alpine-minirootfs-3.10.0-x86_64.tar.gz 

Téléchargez cette archive tar en utilisant wget:

 wget -O alpine-rootfs.tgz http://dl-cdn.alpinelinux.org/alpine/v3.10/releases/x86_64/alpine-minirootfs-3.10.0-x86_64.tar.gz 

Entrez maintenant dans le répertoire du système de fichiers invité et décompressez l'archive:

 cd uml-demo tar xf ../alpine-rootfs.tgz 

Les étapes décrites créeront un petit modèle de système de fichiers. En raison de la nature du système, l'installation de packages via Alpine Apk Manager sera extrêmement difficile. Mais ce FS suffira pour évaluer l'idée générale.

Nous avons également besoin de l'outil tini pour supprimer la consommation de mémoire par les processus zombies de notre noyau invité.

 wget -O tini https://github.com/krallin/tini/releases/download/v0.18.0/tini-static chmod +x tini 

Création d'une ligne de commande du noyau

Le noyau Linux, comme la plupart des autres programmes, possède des arguments de ligne de commande accessibles en spécifiant le commutateur --help .


Cette bannière éclaire les principales options de lancement. Lançons le noyau avec l'ensemble d'options minimal requis:

 linux \ root=/dev/root \ rootfstype=hostfs \ rootflags=$HOME/prefix/uml-demo \ rw \ mem=64M \ init=/bin/sh 

Les lignes ci-dessus indiquent à notre noyau ce qui suit:

• Supposons que le système de fichiers racine soit le pseudo périphérique /dev/root .
• Choisissez hostfs comme pilote du système de fichiers racine.
• Montez le système de fichiers invité que nous avons créé sur le périphérique racine.
• Et oui, en mode lecture-écriture.
• Utilisez seulement 64 mégaoctets de RAM (vous pouvez en utiliser beaucoup moins, selon ce que vous prévoyez de faire, mais 64 Mo semblent être la taille optimale).
• Le noyau démarre automatiquement /bin/sh tant que processus d' init .

Exécutez cette commande et vous devriez obtenir quelque chose comme ceci:


La manipulation de ce qui précède nous donnera un système invité au minimum , sans choses comme /proc ou un nom d'hôte attribué. Par exemple, essayez les commandes suivantes:

- uname -av
- cat /proc/self/pid
- hostname

Pour quitter le système invité, tapez exit ou appuyez sur control-d. Cela tirera la coquille suivie d'une panique du noyau:

 / # exit Kernel panic - not syncing: Attempted to kill init! exitcode=0x00000000 fish: “./linux root=/dev/root rootflag…” terminated by signal SIGABRT (Abort) 

Nous avons eu cette panique du noyau parce que le noyau Linux croit que le processus d'initialisation est toujours en cours d'exécution. Sans cela, le système ne peut plus fonctionner et s'arrête. Mais comme il s'agit d'un processus en mode utilisateur, le résultat se transmet à SIGABRT , ce qui conduit à la sortie.

Configuration du réseau invité

Et ici, chez nous, tout commence à ne pas se dérouler comme prévu. Le réseau en mode utilisateur Linux est l'endroit où tout le concept d'un «mode utilisateur» limité commence à s'effondrer. Après tout, généralement au niveau du système, le réseau est limité à des modes d'exécution privilégiés pour nous tous des raisons claires.

Remarque trans.: plus d'informations sur les différentes options pour travailler avec un réseau en UML peuvent être lues ici .

Voyage à Slirp

Cependant, il existe un outil ancien et presque non pris en charge appelé Slirp , avec lequel le mode utilisateur Linux peut interagir avec le réseau. Il fonctionne à peu près comme une pile TCP / IP au niveau de l'utilisateur et ne nécessite aucune autorisation système pour s'exécuter. Cet outil a été publié en 1995 et la dernière mise à jour remonte à 2006 . Slirp est très vieux. Pendant un temps sans support ni mises à jour, les compilateurs sont allés si loin que maintenant cet outil ne peut être décrit que comme une «pourriture de code» .

Alors, roulons Slirp à partir des référentiels Ubuntu et essayons de l'exécuter:

 sudo apt-get install slirp /usr/bin/slirp Slirp v1.0.17 (BETA) Copyright (c) 1995,1996 Danny Gasparovski and others. All rights reserved. This program is copyrighted, free software. Please read the file COPYRIGHT that came with the Slirp package for the terms and conditions of the copyright. IP address of Slirp host: 127.0.0.1 IP address of your DNS(s): 1.1.1.1, 10.77.0.7 Your address is 10.0.2.15 (or anything else you want) Type five zeroes (0) to exit. [autodetect SLIP/CSLIP, MTU 1500, MRU 1500, 115200 baud] SLiRP Ready ... fish: “/usr/bin/slirp” terminated by signal SIGSEGV (Address boundary error) 

Oh dieux. Installons un débogueur pour Slirp et voyons si nous pouvons comprendre ce qui se passe ici:

 sudo apt-get install gdb slirp-dbgsym gdb /usr/bin/slirp GNU gdb (Ubuntu 8.1-0ubuntu3) 8.1.0.20180409-git Copyright (C) 2018 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Type "show copying" and "show warranty" for details. This GDB was configured as "x86_64-linux-gnu". Type "show configuration" for configuration details. For bug reporting instructions, please see: <http://www.gnu.org/software/gdb/bugs/>. Find the GDB manual and other documentation resources online at: <http://www.gnu.org/software/gdb/documentation/>. For help, type "help". Type "apropos word" to search for commands related to "word"... Reading symbols from /usr/bin/slirp...Reading symbols from /usr/lib/debug/.build-id/c6/2e75b69581a1ad85f72ac32c0d7af913d4861f.debug...done. done. (gdb) run Starting program: /usr/bin/slirp Slirp v1.0.17 (BETA) Copyright (c) 1995,1996 Danny Gasparovski and others. All rights reserved. This program is copyrighted, free software. Please read the file COPYRIGHT that came with the Slirp package for the terms and conditions of the copyright. IP address of Slirp host: 127.0.0.1 IP address of your DNS(s): 1.1.1.1, 10.77.0.7 Your address is 10.0.2.15 (or anything else you want) Type five zeroes (0) to exit. [autodetect SLIP/CSLIP, MTU 1500, MRU 1500, 115200 baud] SLiRP Ready ... Program received signal SIGSEGV, Segmentation fault. ip_slowtimo () at ip_input.c:457 457 ip_input.c: No such file or directory. 

L'erreur bat dans cette ligne . Regardons stacktrace, peut-être que quelque chose nous y aidera:

 (gdb) bt full #0 ip_slowtimo () at ip_input.c:457 fp = 0x55784a40 #1 0x000055555556a57c in main_loop () at ./main.c:980 so = <optimized out> so_next = <optimized out> timeout = {tv_sec = 0, tv_usec = 0} ret = 0 nfds = 0 ttyp = <optimized out> ttyp2 = <optimized out> best_time = <optimized out> tmp_time = <optimized out> #2 0x000055555555b116 in main (argc=1, argv=0x7fffffffdc58) at ./main.c:95 No locals. 

Ici, nous voyons qu'un échec se produit au début de la boucle principale, lorsque slirp essaie de vérifier les délais d'attente. À ce stade, j'ai dû renoncer à essayer de déboguer. Mais voyons si Slirp compilé à partir de tris fonctionne. J'ai rechargé l'archive directement depuis le site Web de Sourceforge , car faire glisser quelque chose à partir de là via la ligne de commande est une douleur:

 cd ~/dl wget https://xena.greedo.xeserv.us/files/slirp-1.0.16.tar.gz tar xf slirp-1.0.16.tar.gz cd slirp-1.0.16/src ./configure --prefix=$HOME/prefix/slirp make 

Ici, nous voyons des alertes sur les fonctions intégrées non définies, c'est-à-dire sur l'impossibilité de lier le fichier binaire résultant. Il semble qu'entre 2006 et ce moment, gcc ait cessé de créer des caractères utilisés dans les fonctions intégrées des fichiers compilés intermédiaires. Essayons de remplacer le inline par un commentaire vide et regardons le résultat:

 vi slirp.h :6 a <enter> #define inline /**/ <escape> :wq make 

Non. Cela ne fonctionne pas non plus. Vous ne trouvez toujours pas les caractères de ces fonctions.

À ce stade, j'ai abandonné et j'ai commencé à chercher des packages de construction Heroku sur Github. Ma théorie était basée sur le fait que certains paquets de construction Heroku contiendront les binaires dont j'ai besoin. En conséquence, la recherche m'a conduit ici . J'ai téléchargé et décompressé uml.tar.gz et uml.tar.gz trouvé ce qui suit:

 total 6136 -rwxr-xr-x 1 cadey cadey 79744 Dec 10 2017 ifconfig* -rwxr-xr-x 1 cadey cadey 373 Dec 13 2017 init* -rwxr-xr-x 1 cadey cadey 149688 Dec 10 2017 insmod* -rwxr-xr-x 1 cadey cadey 66600 Dec 10 2017 route* -rwxr-xr-x 1 cadey cadey 181056 Jun 26 2015 slirp* -rwxr-xr-x 1 cadey cadey 5786592 Dec 15 2017 uml* -rwxr-xr-x 1 cadey cadey 211 Dec 13 2017 uml_run* 

Ceci est un fichier slirp binaire! Travaille-t-il?

 ./slirp Slirp v1.0.17 (BETA) FULL_BOLT Copyright (c) 1995,1996 Danny Gasparovski and others. All rights reserved. This program is copyrighted, free software. Please read the file COPYRIGHT that came with the Slirp package for the terms and conditions of the copyright. IP address of Slirp host: 127.0.0.1 IP address of your DNS(s): 1.1.1.1, 10.77.0.7 Your address is 10.0.2.15 (or anything else you want) Type five zeroes (0) to exit. [autodetect SLIP/CSLIP, MTU 1500, MRU 1500] SLiRP Ready ... 

Ne tombe pas en panne - cela devrait donc fonctionner! ~/bin/slirp ce binaire dans ~/bin/slirp :

 cp slirp ~/bin/slirp 

Dans le cas où le créateur du package l'enlève, j'ai fait un miroir .

Configuration du réseau

Maintenant, configurons le réseau sur notre noyau invité. Mettre à jour les options de lancement :

 linux \ root=/dev/root \ rootfstype=hostfs \ rootflags=$HOME/prefix/uml-demo \ rw \ mem=64M \ eth0=slirp,,$HOME/bin/slirp \ init=/bin/sh 

Allumons maintenant le réseau:

 mount -t proc proc proc/ mount -t sysfs sys sys/ ifconfig eth0 10.0.2.14 netmask 255.255.255.240 broadcast 10.0.2.15 route add default gw 10.0.2.2 

Les deux premières commandes de configuration /proc et /sys nécessaires au fonctionnement d' ifconfig , qui configure une interface réseau pour communiquer avec Slirp. La commande route configure une table de routage du noyau pour forcer tout le trafic à travers le tunnel Slirp. Vérifions cela avec une requête DNS:

 nslookup google.com 8.8.8.8 Server: 8.8.8.8 Address 1: 8.8.8.8 dns.google Name: google.com Address 1: 172.217.12.206 lga25s63-in-f14.1e100.net Address 2: 2607:f8b0:4006:81b::200e lga25s63-in-x0e.1e100.net 

Ça marche!

Remarque: Apparemment, le message d'origine a été écrit sur le bureau avec une carte réseau filaire ou une autre configuration qui ne nécessite pas de pilotes supplémentaires. Sur un ordinateur portable avec WiFi 8265 d'Intel, lorsque vous augmentez le réseau, une erreur se produit

 / # ifconfig eth0 10.0.2.14 netmask 255.255.255.240 broadcast 10.0.2.15 slirp_tramp failed - errno = 2 ifconfig: ioctl 0x8914 failed: No such file or directory / # 

Apparemment, le noyau ne peut pas communiquer avec le pilote réseau. Malheureusement, une tentative de compilation du micrologiciel dans le noyau n'a pas résolu le problème. Au moment de la publication, il n'était pas possible de trouver une solution dans cette configuration particulière. Sur des configurations plus simples (par exemple, dans Virtualbox) l'interface monte correctement.

Automatisons la redirection à l'aide du script shell suivant:

 #!/bin/sh # init.sh mount -t proc proc proc/ mount -t sysfs sys sys/ ifconfig eth0 10.0.2.14 netmask 255.255.255.240 broadcast 10.0.2.15 route add default gw 10.0.2.2 echo "networking set up" exec /tini /bin/sh 

Et marquez-le comme exécutable:

 chmod +x init.sh 

Et puis apportez des modifications à la ligne de commande du noyau:

 linux \ root=/dev/root \ rootfstype=hostfs \ rootflags=$HOME/prefix/uml-demo \ rw \ mem=64M \ eth0=slirp,,$HOME/bin/slirp \ init=/init.sh 

Et répétez:

 SLiRP Ready ... networking set up /bin/sh: can't access tty; job control turned off nslookup google.com 8.8.8.8 Server: 8.8.8.8 Address 1: 8.8.8.8 dns.google Name: google.com Address 1: 172.217.12.206 lga25s63-in-f14.1e100.net Address 2: 2607:f8b0:4004:800::200e iad30s09-in-x0e.1e100.net 

Le réseau est stable!

Fichier Docker

, Dockerfile , . , , . , .

---

, , . - , , User Mode Linux . . Docker — tar-, docker export , . , shell-.

Rkeene #lobsters Freenode. Slirp . , Slackware slirp, Ubuntu Alpine slirp Rkeene . , -.