ИМЯ

setns - повторно связывает нить с пространством имён

ОБЗОР

#define _GNU_SOURCE /* Смотрите feature_test_macros(7) */
#include <sched.h>

int setns(int fd, int nstype);

ОПИСАНИЕ

Указанный файловый дескриптор, ссылающийся на пространство имён, повторно связывается
(reassociate) в вызвавшей нити с этим пространством имён.

Аргумент fd представляет собой файловый дескриптор, ссылающийся на одно из элементов
пространств имён в каталоге /proc/[pid]/ns/; подробней о /proc/[pid]/ns/ смотрите в
namespaces(7). Вызывающая нить будет повторно связана с соответствующим пространством имён с
учётом всех ограничений, устанавливаемых аргументом nstype.

В аргументе nstype указывается тип пространства имён, с которым вызывающая нить может быть
повторно связана. Данный аргумент может иметь одно из следующих значений:

0 Разрешить подключиться к пространству имён любого типа.

CLONE_NEWCGROUP (начиная с Linux 4.6)
Значение fd должно указывать на пространство имён cgroup.

CLONE_NEWIPC (начиная с Linux 3.0)
Значение fd должно указывать на пространство имён IPC.

CLONE_NEWNET (начиная с Linux 3.0)
Значение fd должно указывать на пространство имён network.

CLONE_NEWNS (начиная с Linux 3.8)
Значение fd должно указывать на пространство имён mount.

CLONE_NEWPID (начиная с Linux 3.8)
Значение fd должно указывать на пространство имён PID потомков.

CLONE_NEWUSER (начиная с Linux 3.8)
Значение fd должно указывать на пространство имён user.

CLONE_NEWUTS (начиная с Linux 3.0)
Значение fd должно указывать на пространство имён UTS.

Установка nstype в 0 имеет смысл только, если вызывающий знает (или ему не важно) на какой
тип пространства имён ссылается fd. Назначение ненулевого значения в nstype полезно, если
вызывающий не знает на какой тип пространства имён ссылается fd. и хочет быть уверенным, что
пространство имён именно нужного типа (вызывающий может не знать тип пространства имён на
который указывает fd, если файловый дескриптор был открыт другим процессом и, например,
передан вызывающему через доменный сокет UNIX).

Если fd ссылается на пространство имён PID, то семантика слегла отличается от других типов
пространств имён: пересопряжение вызывающей нити с пространством имён PID изменяет только
пространство имён PID, в которое будут помещены все создаваемые далее потомки вызывающего;
пространство имён PID самого вызывающего не изменяется. Пересопряжение (reassociating) с
пространством имён PID разрешено только, если пространство имён PID, указанное в fd,
является потомком (дочерним, внучатым и т. д.) пространства имён PID вызывающего.
причинам, связанным с безопасностью, процесс не может объединить новое пользовательское
пространство имён, если он сообща владеет атрибутами файловых систем (атрибуты, чьё
наследование управляется флагом CLONE_FS в clone(2)) с другим процессом. Подробней о
пространствах имён пользователя смотрите в user_namespaces(7).

Процесс не может повторно связываться с новым пространством имён монтирования, если он
является многонитевым. Для смены пространство имён монтирования требуется, чтобы вызывающий
процесс имел мандаты CAP_SYS_CHROOT и CAP_SYS_ADMIN в своём пространстве имён пользователя и
мандат CAP_SYS_ADMIN в назначаемом пространстве имён монтирования. Подробней о
взаимодействии пространств имён пользователя и монтирования смотрите в user_namespaces(7).

Использование setns() для изменения пространства имён cgroup вызывающего не изменяет
членство cgroup вызывающего.

ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ

При успешном выполнении setns() возвращает 0. При ошибке возвращается -1, и errno
устанавливается в соответствующее значение.

ОШИБКИ

EBADF Значение fd не является правильным файловым дескриптором.

EINVAL Значение fd ссылается на пространство имён, чей тип не соответствует с указанным в
nstype.

EINVAL Эти проблемы возникают при повторном связывании нити с указанным пространством имён.

EINVAL Вызывающий пытается объединиться с пространством имён PID предка (родителя, родителя
родителя и т. д.).

EINVAL Вызывающий пытается объединиться с пространством имён пользователя, в которое он уже
входит.

EINVAL Вызывающий сообща владеет состоянием файловой системы (CLONE_FS) (в частности,
корневой каталог) с другим процессом и пытается объединить новое пользовательское
пространство имён.

EINVAL Вызывающий состоит из нескольких нитей и пытается объединить новое пользовательское
пространство имён.

ENOMEM Невозможно выделить достаточно памяти для изменения указанного пространства имён.

EPERM Вызывающая нить не имеет требуемого мандата для этой операции.

ВЕРСИИ

Системный вызов setns() впервые появился в ядре Linux версии 3.0; поддержка в glibc
добавлена в версии 2.14.

СООТВЕТСТВИЕ СТАНДАРТАМ

Системный вызов setns() есть только в Linux.

ЗАМЕЧАНИЯ

Не все атрибуты, которыми можно владеть сообща при создании новой нити с помощью using
clone(2), можно изменить с помощью setns().

ПРИМЕР

Программа, представленная ниже, ожидает два и более аргументов. В первом аргумент
указывается путь к файлу пространства имён в существующем каталоге /proc/[pid]/ns/. В
отдельном пространстве имён UTS. Потомок изменяет имя узла в своём пространстве имён, а
затем оба процесса отображают имена узлов в своих пространствах имён UTS для того, чтобы мы
увидели, что они разные.

$ su # Требуются права для выполнения
# операций с пространством имён
Password:
# ./newuts bizarro &
[1] 3549
clone() returned 3550
uts.nodename in child: bizarro
uts.nodename in parent: antero
# uname -n # проверяем имя узла в оболочке
antero

Затем мы запускаем программу, показанную ниже, используя ту же оболочку. Внутри этой
оболочки мы проверяем, что имя узла — одно из изменённых потомком, созданным первой
программой:

# ./ns_exec /proc/3550/ns/uts /bin/bash
# uname -n # выполняется в оболочке, запущенной ns_exec
bizarro

Исходный код программы
#define _GNU_SOURCE
#include <fcntl.h>
#include <sched.h>
#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>

#define errExit(msg) do { perror(msg); exit(EXIT_FAILURE); \
} while (0)

int
main(int argc, char *argv[])
{
int fd;

if (argc < 3) {
fprintf(stderr, "%s /proc/PID/ns/FILE команда аргументы…\n", argv[0]);
exit(EXIT_FAILURE);
}

fd = open(argv[1], O_RDONLY); /* получаем файловый дескриптор для пространства
имён */
if (fd == -1)
errExit("open");

if (setns(fd, 0) == -1) /* объединяемся с этим пространством имён */
errExit("setns");

execvp(argv[2], &argv[2]); /* выполняем команду в пространстве имён */
errExit("execvp");
}