5.11 で追加された OverlayFS の非特権マウント(1)
5.11 カーネルで overlayfs に大きな変更があったようで、久々にカーネルの新しい機能を試してみました。
とは言っても、結果だけ言うとすぐに終わってしまうので、すごいことをやったように見せかけるために、復習したりして順に説明していきましょう。時間のない方は最後の方だけ見れば良いです。
OverlayFS とは
Union Filesystem の実装の1つで、ディレクトリを重ね合わせて1つのディレクトリツリーを構成できます。Docker なんかではおなじみの機能ですね。おなじみの機能とはいえ、実際に直接マウントして動きを見たことがない方も多いかと思います。そこでまずは動きを簡単に見てみましょう。
重ね合わせるということで、下層側ディレクトリ、上層側ディレクトリを重ね合わせて、マウントポイント以下に見せます。他にワーク用の workdir
として指定するディレクトリが必要です。
次の例では
というディレクトリを準備しています。lower
と upper
の中にはディレクトリとファイルを作成しておき、マウント後に overlay
以下にそれらのファイル・ディレクトリが見えることが確認できます。
$ mkdir lower upper work overlay # overlayfs用のディレクトリの作成 $ mkdir lower/lowerdir upper/upperdir # 下層、上層それぞれにディレクトリ作成 $ touch lower/lowerdir/lowfile upper/upperdir/upfile # ディレクトリ内にファイル作成 $ sudo mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=work overlay overlay $ find overlay/ overlay/ overlay/lowerdir overlay/lowerdir/lowfile overlay/upperdir overlay/upperdir/upfile $ grep overlay /proc/$$/mountinfo 68 33 0:67 / /home/karma/tmp/overlay rw,relatime - overlay overlay rw,lowerdir=lower,upperdir=upper,workdir=work
詳しくは連載記事 gihyo.jp や、カーネル付属文書 www.kernel.org をご覧ください。
他に関連記事としてこんな記事も書いています。
5.11 カーネルで行われた非特権マウントのための変更と FS_USERNS_MOUNT
User Namespace内は、Namespace内では特権ユーザー、Namespace外では一般ユーザーという UID/GID のマッピングができる機能です。Namespace 内では特権を持つユーザーであっても、実際は特権を持たないユーザーでの処理がされているため、当然ながら一般的には User Namespace 内ではマウント操作はできません。
User Namespace について詳しくは連載の次の記事をご覧ください。
しかし、一部のファイルシステムについては、従来から User Namespace 内でマウントできました。例えば、コンテナ内で /proc
や tmpfs などをマウントする操作は普通に行われている操作ではないかと思います。
このような User Namespace 内でファイルシステムをマウントできる機能は、非常に簡単な定義を行うだけで使えます。このためのファイルシステムに定義する定数が include/linux/fs.h
に定義されています。
struct file_system_type { const char *name; int fs_flags; #define FS_REQUIRES_DEV 1 #define FS_BINARY_MOUNTDATA 2 #define FS_HAS_SUBTYPE 4 #define FS_USERNS_MOUNT 8 /* Can be mounted by userns root */ #define FS_DISALLOW_NOTIFY_PERM 16 /* Disable fanotify permission events */ : (snip)
この FS_USERNS_MOUNT
というのがそれで、ファイルシステムを実装する際にこの値を fs_flags
に設定すると、コメントにあるように User Namespace 内の root が、そのファイルシステムをマウントできるわけです。
実は LXC 方面で使っていたため、Ubuntu のカーネルにはこれまでも User Namespace 内で overlayfs をマウントするパッチが適用されていました(筆者がメンテナをつとめる Plamo Linux でも一時期適用されていたはずです)。
今回(5.11 カーネル)の OverlayFS の非特権マウントのパッチも非常に単純で、次のようなパッチです。これまで Ubuntu カーネルに適用されていたパッチも同じものです。
--- a/fs/overlayfs/super.c +++ b/fs/overlayfs/super.c @@ -2096,6 +2096,7 @@ static struct dentry *ovl_mount(struct file_system_type *fs_type, int flags, static struct file_system_type ovl_fs_type = { .owner = THIS_MODULE, .name = "overlay", + .fs_flags = FS_USERNS_MOUNT, .mount = ovl_mount, .kill_sb = kill_anon_super, };
今回の OverlayFS に対するパッチは 10 個ほどのパッチとなっていますが、「非特権マウント」のために必要な変更は上記の変更だけです。他はより安全に処理を行うための修正のようで、今回だけでなく 5.8 でも変更が行われていたようです。
5.11 カーネルでの非特権 OverlayFS マウント
それでは先の例と同じディレクトリ、ファイルを使って非特権 OverlayFS を試してみましょう。使用するカーネルは 5.11.5 です。
$ uname -r 5.11.5-plamo64
「非特権」と言っても、先に説明したとおり「User Namespace 内の root がマウントできる」ということですので、unshare コマンドで User Namespace を作成して試します。(いずれにせよ mount コマンドは root でないと実行が失敗するようになってます)
ただ、ここで User Namespace だけを作ってもマウントは失敗します。
$ unshare --user --map-root-user # mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=work overlay overlay mount: /home/karma/tmp/overlay: permission denied. (失敗した)
これは Mount Namespace も元の Namespace とも独立している必要があるためです。
そこで次の例では unshare コマンドに --mount
も指定して User/Mount Namespace を作成してみましょう。--map-root-user
は unshare を実行するユーザーと User Namespace 内の root をマッピングするオプションです。次の例だと元の Namespace の UID: 1000 のユーザーと作成する Namespace 内の UID:0 をマッピングするということです。
$ id -u (現在のユーザーは UID:1000) 1000 $ unshare --user --map-root-user --mount (User Namespace と Mount Namespace を作成する) # mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=work overlay overlay # grep overlay /proc/self/mountinfo (マウント情報を確認する) 119 109 0:62 / /home/karma/tmp/overlay rw,relatime - overlay overlay rw,lowerdir=lower,upperdir=upper,workdir=work,index=off,metacopy=off # find overlay/ (重ね合わせた状態でマウントできている) overlay/ overlay/lowerdir overlay/lowerdir/lowfile overlay/upperdir overlay/upperdir/upfile
マウントが成功しましたね。所有権も見ておきましょう。
# ls -l overlay/ 合計 0 drwxr-xr-x 1 root root 14 3月 14日 21:07 lowerdir/ drwxr-xr-x 1 root root 12 3月 14日 21:07 upperdir/ # ls -l overlay/* overlay/lowerdir: 合計 0 -rw-r--r-- 1 root root 0 3月 14日 21:07 lowfile overlay/upperdir: 合計 0 -rw-r--r-- 1 root root 0 3月 14日 21:07 upfile
これらのファイルは元の Namespace のユーザー(UID: 1000)権限で作成しましたので、ちゃんと User Namespace 内でマウントしてもマッピング先のユーザー(UID: 0=root)の所有権になっています。
5.11 より前のカーネルでの実行例
一応、比較のために 5.11 より前のバージョンのカーネルで非特権マウントができないことも確認しておきましょう。ちょっと古いのですが、手元にあった 5.2 カーネルの環境で試してみました。
$ uname -r 5.2.1-plamo64 $ id -u 1000 $ unshare --mount --user --map-root-user # mount -t overlay -o lowerdir=lower,upperdir=upper,workdir=work overlay overlay mount: /home/karma/tmp/overlay: permission denied.
同様に実行してみました。失敗しましたね。
(つづく)