- Подписка на печатную версию:
- Подписка на электронную версию:
- Подшивки старых номеров журнала (печатные версии)
LXF134:DrBrown2
Материал из Linuxformat.
Версия 10:03, 17 сентября 2011
Контейнерные технологии
- В Linux таких множество – разберемся с их типами.
При каждом запуске программы в Linux она разделяет некоторые ресурсы с другими приложениями и виртуализирует (или изолирует) остальные. Какие ресурсы разделяются, а какие изолируются, зависит от используемой технологии. Вот небольшой обзор.
- Процессы Процессы – низший уровень контейнеризации, и вы даже, наверное, ворчите на меня за то, что я отнес их к этой категории. Но процесс – и в самом деле контейнер, в котором выполняется программа. Среди прочего он изолирует пространство памяти программы (у каждого процесса есть иллюзия, что все адресное пространство принадлежит ему) и наборы файловых дескрипторов программы (например, каждый процесс знает, куда подключен его стандартный поток вывода). Эта технология контейнеризации фундаментальна для Linux и Unix и существует с незапамятных времен.
- Chroot Идея здесь в том, чтобы ограничить программу определенной частью файлового дерева («тюрьмой» или «песочницей»). Механизм основан на системном вызове chroot (изменить корень), который изменяет представление процесса о том, где находится корневой каталог (/). Например, если процесс делает chroot в каталог /var/run/foobar и затем обращается к файлу /etc/fstab, на самом деле он будет обращаться к файлу /var/run/foobar/etc/fstab.
Для правильно написанной программы это мера безопасности – программа не сможет получить доступ ни к каким файлам вне «тюрьмы». Часто с применением этой технологии работают демоны – на ум приходит DNS-сервер Bind. Но данный механизм нельзя назвать сильным, да он никогда и не претендовал на это. Если демон выполняется под пользователем root, и у него есть уязвимость (к примеру, ошибка при переполнении буфера), существует несколько хорошо документированных способов вырваться из тюрьмы. Механизм chroot на самом деле предназначался для того, чтобы предоставить программе собственное видение файловой системы, а разработчикам – «песочницу» для тестирования новых программ, а не для того, чтобы сдерживать программы с уязвимостями.
При создании «тюрьмы» для программы нужен определенный подход. Нельзя просто бросить узника в камеру без еды и воды и ждать, что он выживет. В «тюрьме» должны быть файлы, необходимые для работы программы, файлы данных, файлы настройки; наверное, копии некоторых файлов из /etc и /dev, и т. д.