UserNamensräume - Infinite Lexicon - Infinite Lexicon

UserNamensräume

UserNamensräume, oft als Benutzer-Namensräume bezeichnet, sind eine Funktion des Linux-Kernels, die die Benutzer- und Gruppen-ID-Räume eines Prozesses von denen des Host-Systems isoliert. In einem Namensraum besitzt der Prozess eigene UID- und GID-Zuordnungen; ein Prozess kann inside dem Namensraum als root erscheinen, während er außerhalb des Namensraums eine nicht-privilegierte UID behält. Dadurch entsteht eine Form der Privilegien-Trennung, die insbesondere in Containern genutzt wird.

Funktionsweise: Jeder Namensraum hat eigene Zuordnungen, die in uid_map- und gid_map-Dateien unter /proc/[PID]/ gepflegt werden. Die

Anwendungen: Die Technik wird vor allem in der Containerisierung und bei Sandbox-Lösungen eingesetzt. Durch die Isolation

Sicherheit und Einschränkungen: Root im Namespace bedeutet nicht automatisch Root auf dem Host; der Zugang zu

unprivilegierte

clone(CLONE_NEWUSER).

Container-Tools

Benutzer-Namensräume.

Host-Ressourcen

eingeschränkt.

setgroups-Handling)

Sicherheitslücken

Einschränkungen:

Kernel-Subsysteme

AppArmor/SELinux