Wprowadzenie od tłumacza: Na tle masowego pojawienia się w naszym życiu różnego rodzaju kontenerów, całkiem interesujące i przydatne może być dowiedzenie się, od jakich technologii to wszystko się kiedyś zaczęło. Część z nich do dziś można z pożytkiem zastosować, jednak nie każdy pamięta takie metody (lub wie, czy nie zostały one złapane w trakcie ich szybkiego rozwoju). Jedną z takich technologii jest Linux w trybie użytkownika. Autor oryginału dużo grzebał, zastanawiając się, które ze starych rozwiązań nadal działają, a które nie, i stworzył coś w rodzaju instrukcji krok po kroku, jak zdobyć homebrew UML w 2k19. I tak, zaprosiliśmy autora oryginalnego wpisu do Habr , więc jeśli masz jakieś pytania - zadaj je w komentarzach po angielsku.
Tryb użytkownika w Linuksie jest w rzeczywistości portem jądra Linuksa dla samego siebie. Ten tryb umożliwia uruchomienie pełnego jądra Linuksa jako procesu użytkownika i jest powszechnie używany przez programistów do testowania sterowników. Ale ten tryb jest również przydatny jako ogólne narzędzie izolacji, którego zasada jest podobna do działania maszyn wirtualnych. Ten tryb zapewnia większą izolację niż Docker, ale mniej niż pełnoprawna maszyna wirtualna, taka jak KVM lub Virtual Box.
Ogólnie Tryb Użytkownika może wydawać się dziwnym i trudnym w użyciu narzędziem, ale mimo to ma swoje zastosowania. W końcu jest to pełnoprawne jądro Linuksa uruchamiane przez nieuprzywilejowanego użytkownika. Ta funkcja umożliwia uruchomienie potencjalnie niezaufanego kodu bez zagrożenia dla komputera hosta. A ponieważ jest to pełnoprawne jądro, to znaczy jego procesy są odizolowane od komputera-hosta procesy działające w trybie użytkownika nie będą widoczne dla hosta. Nie przypomina to zwykłego kontenera Dockera, w którym to przypadku komputer hosta zawsze widzi procesy wewnątrz repozytorium. Spójrz na ten fragment pstree z jednego z moich serwerów:
containerd─┬─containerd-shim─┬─tini─┬─dnsd───19*[{dnsd}]
│ │ └─s6-svscan───s6-supervise
│ └─10*[{containerd-shim}]
├─containerd-shim─┬─tini─┬─aerial───21*[{aerial}]
│ │ └─s6-svscan───s6-supervise
│ └─10*[{containerd-shim}]
├─containerd-shim─┬─tini─┬─s6-svscan───s6-supervise
│ │ └─surl
│ └─9*[{containerd-shim}]
├─containerd-shim─┬─tini─┬─h───13*[{h}]
│ │ └─s6-svscan───s6-supervise
│ └─10*[{containerd-shim}]
├─containerd-shim─┬─goproxy───14*[{goproxy}]
│ └─9*[{containerd-shim}]
└─32*[{containerd}]I porównaj to z pstree jądra Linuksa w trybie użytkownika:
linux─┬─5*[linux]
└─slirpPodczas pracy z kontenerami Docker widzę na hoście nazwy procesów uruchomionych w gościu. W trybie użytkownika systemu Linux nie jest to możliwe. Co to znaczy? Oznacza to, że narzędzia monitorujące działające w podsystemie audytu Linuksa nie widzę procesów uruchomionych w systemie gościa. Ale w niektórych sytuacjach ta funkcja może stać się mieczem obosiecznym.
Ogólnie rzecz biorąc, cały poniższy post jest zbiorem badań i przybliżonych prób osiągnięcia pożądanego rezultatu. Aby to zrobić, musiałem korzystać z różnych starożytnych narzędzi, czytać źródła jądra, intensywnie debugować kod napisany w czasach, gdy byłem jeszcze w szkole podstawowej, a także majstrować przy kompilacjach Heroku za pomocą specjalnego pliku binarnego, aby znaleźć potrzebne mi narzędzia . Cała ta praca sprawiła, że chłopaki z mojego IRC nazwali mnie magią. Mam nadzieję, że ten post posłuży jako wiarygodna dokumentacja dla kogoś, kto spróbuje tego samego z nowszymi jądrami i wersjami systemu operacyjnego.
regulacja
Konfigurowanie trybu użytkownika systemu Linux odbywa się w kilku krokach:
- instalowanie zależności na hoście;
- pobranie jądra Linuksa;
- konfiguracja kompilacji jądra;
- montaż jądra;
- instalacja binarna;
- konfiguracja systemu plików gościa;
- wybór parametrów uruchamiania jądra;
- konfigurowanie sieci gościnnej;
- uruchomienie jądra gościa.
Zakładam, że jeśli zdecydujesz się zrobić to sam, najprawdopodobniej zrobisz wszystko, co opisano w jakimś systemie podobnym do Ubuntu lub Debiana. Próbowałem to wszystko zaimplementować w mojej ulubionej dystrybucji - Alpine, ale nic z tego nie wyszło, najwyraźniej ze względu na fakt, że jądro Linuksa ma sztywno wiążące glibc-izmy dla sterowników w trybie użytkownika. Planuję zgłosić to przełożonemu, gdy w końcu zrozumiem problem.
Instalowanie zależności na hoście
Ubuntu wymaga co najmniej następujących pakietów do zbudowania jądra Linuksa (zakładając czystą instalację):
- 'build-essential'
- 'flex'
- 'bison'
- 'xz-utils'
- 'wget'
- 'ca-certificates'
- 'bc'
- 'linux-headers'
Możesz je zainstalować za pomocą następującego polecenia (jako root lub sudo):
apt-get -y install build-essential flex bison xz-utils wget ca-certificates bc
linux-headers-$(uname -r)
Należy pamiętać, że uruchomienie programu dostosowującego menu dla jądra Linux będzie wymagało instalacji libncurses-dev. Upewnij się, że jest on zainstalowany za pomocą następującego polecenia (jako root lub sudo):
apt-get -y install libncurses-devPobieranie jądra
Zdecyduj, skąd pobrać, a następnie zbuduj jądro. Na tę operację będziesz musiał przeznaczyć około 1,3 GB miejsca na dysku twardym, więc upewnij się, że je masz.
Po idź do i uzyskaj adres URL umożliwiający pobranie najnowszej stabilnej wersji jądra. W momencie pisania tego posta:
Pobierz ten plik za pomocą 'wget':
wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.1.16.tar.xz
I wyodrębnij go za pomocą 'tar':
tar xJf linux-5.1.16.tar.xzTeraz wchodzimy do katalogu utworzonego podczas rozpakowywania archiwum:
cd linux-5.1.16Konfiguracja kompilacji jądra
System kompilacji jądra jest zestawem с wiele niestandardowe narzędzia i skrypty automatyzujące proces. Najpierw otwórz interaktywny program instalacyjny:
make ARCH=um menuconfig
Częściowo zakończy montaż i wyświetli okno dialogowe. Gdy w dolnej części okna pojawi się światło[Select]', będziesz mógł skonfigurować za pomocą klawiszy Spacja lub Enter. Poruszaj się po oknie jak zwykle za pomocą strzałek na klawiaturze „w górę” i „w dół” oraz wybieraj elementy - „w lewo” lub „w prawo”.
Wskaźnik widoku —> oznacza, że znajdujesz się w podmenu, do którego dostęp można uzyskać za pomocą klawisza Enter. Wyjście z tego wiedzie oczywiście przez[Exit]".
Uwzględnij następujące opcje w „[Select]' i upewnij się, że obok nich znajduje się '[*]':
UML-specific Options:
- Host filesystem
Networking support (enable this to get the submenu to show up):
- Networking options:
- TCP/IP Networking
UML Network devices:
- Virtual network device
- SLiRP transport
To wszystko, możesz wyjść z tego okna wybierając kolejno '[Exit]'. Upewnij się tylko, że na końcu zostaniesz poproszony o zapisanie konfiguracji i wybierz „[Yes]".
Po przeczytaniu tego postu zalecam pobawienie się opcjami kompilacji jądra. Dzięki tym eksperymentom można się wiele nauczyć w zakresie zrozumienia działania mechaniki jądra niskiego poziomu i wpływu różnych flag na jego montaż.
Budowa jądra
Jądro Linuksa to duży program, który robi wiele rzeczy. Nawet przy tak minimalnej konfiguracji na starszym sprzęcie montaż może zająć sporo czasu. Zbuduj więc jądro za pomocą następującego polecenia:
make ARCH=um -j$(nproc)
Po co? To polecenie poinformuje naszego konstruktora, aby użył wszystkich dostępnych rdzeni i wątków procesora w procesie kompilacji. Zespół $(nproc) na końcu kompilacji zastępuje dane wyjściowe polecenia nproc, który jest częścią coreutils w standardowej wersji Ubuntu.
Po pewnym czasie nasze jądro zostanie skompilowane do pliku wykonywalnego ./linux.
Instalowanie pliku binarnego
Ponieważ tryb użytkownika w systemie Linux tworzy zwykły plik binarny, możesz go zainstalować jak każde inne narzędzie. Oto jak to zrobiłem:
mkdir -p ~/bin
cp linux ~/bin/linux
O to też warto się upewnić ~/bin jest w twoim $PATH:
export PATH=$PATH:$HOME/binKonfigurowanie systemu plików gościa
Utwórz katalog dla systemu plików gościa:
mkdir -p $HOME/prefix/uml-demo
cd $HOME/prefix
Otwórz alpinelinux.org i w znajdź aktualny link do pobrania MINI ROOT FILESYSTEM. W momencie pisania było tak:
http://dl-cdn.alpinelinux.org/alpine/v3.10/releases/x86_64/alpine-minirootfs-3.10.0-x86_64.tar.gzPobierz ten plik tar za pomocą wget:
wget -O alpine-rootfs.tgz http://dl-cdn.alpinelinux.org/alpine/v3.10/releases/x86_64/alpine-minirootfs-3.10.0-x86_64.tar.gzTeraz wejdź do katalogu systemu plików gościa i rozpakuj archiwum:
cd uml-demo
tar xf ../alpine-rootfs.tgzOpisane działania utworzą mały szablon systemu plików. Ze względu na sposób działania systemu instalacja pakietów za pośrednictwem menedżera apk Alpine będzie niezwykle trudna. Ale ten FS wystarczy, aby ocenić ogólny pomysł.
Potrzebujemy także narzędzia aby ograniczyć zużycie pamięci nasze jądro gościnne.
wget -O tini https://github.com/krallin/tini/releases/download/v0.18.0/tini-static
chmod +x tiniTworzenie wiersza poleceń jądra
Jądro Linuksa, podobnie jak większość innych programów, ma argumenty wiersza poleceń, do których można uzyskać dostęp, podając klucz --help.
Sam — pomóż
linux --help
User Mode Linux v5.1.16
available at http://user-mode-linux.sourceforge.net/
--showconfig
Prints the config file that this UML binary was generated from.
iomem=<name>,<file>
Configure <file> as an IO memory region named <name>.
mem=<Amount of desired ram>
This controls how much "physical" memory the kernel allocates
for the system. The size is specified as a number followed by
one of 'k', 'K', 'm', 'M', which have the obvious meanings.
This is not related to the amount of memory in the host. It can
be more, and the excess, if it's ever used, will just be swapped out.
Example: mem=64M
--help
Prints this message.
debug
this flag is not needed to run gdb on UML in skas mode
root=<file containing the root fs>
This is actually used by the generic kernel in exactly the same
way as in any other kernel. If you configure a number of block
devices and want to boot off something other than ubd0, you
would use something like:
root=/dev/ubd5
--version
Prints the version number of the kernel.
umid=<name>
This is used to assign a unique identity to this UML machine and
is used for naming the pid file and management console socket.
con[0-9]*=<channel description>
Attach a console or serial line to a host channel. See
http://user-mode-linux.sourceforge.net/old/input.html for a complete
description of this switch.
eth[0-9]+=<transport>,<options>
Configure a network device.
aio=2.4
This is used to force UML to use 2.4-style AIO even when 2.6 AIO is
available. 2.4 AIO is a single thread that handles one request at a
time, synchronously. 2.6 AIO is a thread which uses the 2.6 AIO
interface to handle an arbitrary number of pending requests. 2.6 AIO
is not available in tt mode, on 2.4 hosts, or when UML is built with
/usr/include/linux/aio_abi.h not available. Many distributions don't
include aio_abi.h, so you will need to copy it from a kernel tree to
your /usr/include/linux in order to build an AIO-capable UML
nosysemu
Turns off syscall emulation patch for ptrace (SYSEMU).
SYSEMU is a performance-patch introduced by Laurent Vivier. It changes
behaviour of ptrace() and helps reduce host context switch rates.
To make it work, you need a kernel patch for your host, too.
See http://perso.wanadoo.fr/laurent.vivier/UML/ for further
information.
uml_dir=<directory>
The location to place the pid and umid files.
quiet
Turns off information messages during boot.
hostfs=<root dir>,<flags>,...
This is used to set hostfs parameters. The root directory argument
is used to confine all hostfs mounts to within the specified directory
tree on the host. If this isn't specified, then a user inside UML can
mount anything on the host that's accessible to the user that's running
it.
The only flag currently supported is 'append', which specifies that all
files opened by hostfs will be opened in append mode.Ten panel podkreśla główne parametry uruchamiania. Uruchommy jądro z minimalnym wymaganym zestawem opcji:
linux
root=/dev/root
rootfstype=hostfs
rootflags=$HOME/prefix/uml-demo
rw
mem=64M
init=/bin/shPowyższe linie przekazują naszemu jądru następujące informacje:
- Załóżmy, że główny system plików jest pseudourządzeniem
/dev/root. - Wybierać jako główny sterownik systemu plików.
- Zamontuj utworzony przez nas system plików gościa na urządzeniu głównym.
- I tak, w trybie odczytu i zapisu.
- Używaj tylko 64 MB pamięci RAM (możesz użyć znacznie mniej w zależności od tego, co planujesz robić, ale 64 MB wydaje się optymalną ilością).
- Jądro uruchamia się automatycznie
/bin/shjakinit-proces.
Uruchom to polecenie, a powinieneś otrzymać coś takiego:
Jeszcze jeden arkusz
Core dump limits :
soft - 0
hard - NONE
Checking that ptrace can change system call numbers...OK
Checking syscall emulation patch for ptrace...OK
Checking advanced syscall emulation patch for ptrace...OK
Checking environment variables for a tempdir...none found
Checking if /dev/shm is on tmpfs...OK
Checking PROT_EXEC mmap in /dev/shm...OK
Adding 32137216 bytes to physical memory to account for exec-shield gap
Linux version 5.1.16 (cadey@kahless) (gcc version 7.4.0 (Ubuntu 7.4.0-1ubuntu1~18.04.1)) #30 Sun Jul 7 18:57:19 UTC 2019
Built 1 zonelists, mobility grouping on. Total pages: 23898
Kernel command line: root=/dev/root rootflags=/home/cadey/dl/uml/alpine rootfstype=hostfs rw mem=64M init=/bin/sh
Dentry cache hash table entries: 16384 (order: 5, 131072 bytes)
Inode-cache hash table entries: 8192 (order: 4, 65536 bytes)
Memory: 59584K/96920K available (2692K kernel code, 708K rwdata, 588K rodata, 104K init, 244K bss, 37336K reserved, 0K cma-reserved)
SLUB: HWalign=64, Order=0-3, MinObjects=0, CPUs=1, Nodes=1
NR_IRQS: 15
clocksource: timer: mask: 0xffffffffffffffff max_cycles: 0x1cd42e205, max_idle_ns: 881590404426 ns
Calibrating delay loop... 7479.29 BogoMIPS (lpj=37396480)
pid_max: default: 32768 minimum: 301
Mount-cache hash table entries: 512 (order: 0, 4096 bytes)
Mountpoint-cache hash table entries: 512 (order: 0, 4096 bytes)
Checking that host ptys support output SIGIO...Yes
Checking that host ptys support SIGIO on close...No, enabling workaround
devtmpfs: initialized
random: get_random_bytes called from setup_net+0x48/0x1e0 with crng_init=0
Using 2.6 host AIO
clocksource: jiffies: mask: 0xffffffff max_cycles: 0xffffffff, max_idle_ns: 19112604462750000 ns
futex hash table entries: 256 (order: 0, 6144 bytes)
NET: Registered protocol family 16
clocksource: Switched to clocksource timer
NET: Registered protocol family 2
tcp_listen_portaddr_hash hash table entries: 256 (order: 0, 4096 bytes)
TCP established hash table entries: 1024 (order: 1, 8192 bytes)
TCP bind hash table entries: 1024 (order: 1, 8192 bytes)
TCP: Hash tables configured (established 1024 bind 1024)
UDP hash table entries: 256 (order: 1, 8192 bytes)
UDP-Lite hash table entries: 256 (order: 1, 8192 bytes)
NET: Registered protocol family 1
console [stderr0] disabled
mconsole (version 2) initialized on /home/cadey/.uml/tEwIjm/mconsole
Checking host MADV_REMOVE support...OK
workingset: timestamp_bits=62 max_order=14 bucket_order=0
Block layer SCSI generic (bsg) driver version 0.4 loaded (major 254)
io scheduler noop registered (default)
io scheduler bfq registered
loop: module loaded
NET: Registered protocol family 17
Initialized stdio console driver
Using a channel type which is configured out of UML
setup_one_line failed for device 1 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 2 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 3 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 4 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 5 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 6 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 7 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 8 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 9 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 10 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 11 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 12 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 13 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 14 : Configuration failed
Using a channel type which is configured out of UML
setup_one_line failed for device 15 : Configuration failed
Console initialized on /dev/tty0
console [tty0] enabled
console [mc-1] enabled
Failed to initialize ubd device 0 :Couldn't determine size of device's file
VFS: Mounted root (hostfs filesystem) on device 0:11.
devtmpfs: mounted
This architecture does not have kernel memory protection.
Run /bin/sh as init process
/bin/sh: can't access tty; job control turned off
random: fast init done
/ # Powyższe manipulacje nam dadzą minimalny system gościnny, bez takich rzeczy jak /proc lub przypisana nazwa hosta. Wypróbuj na przykład następujące polecenia:
- uname -av
- cat /proc/self/pid
- hostname
Aby wylogować się z gościa, wpisz exit lub naciśnij control-d. Spowoduje to uruchomienie powłoki, po której nastąpi panika jądra:
/ # exit
Kernel panic - not syncing: Attempted to kill init! exitcode=0x00000000
fish: “./linux root=/dev/root rootflag…” terminated by signal SIGABRT (Abort)
Dostaliśmy tę panikę jądra, ponieważ jądro Linuksa uważa, że proces inicjalizacji jest zawsze uruchomiony. Bez tego system nie może już działać i ulega awarii. Ponieważ jednak jest to proces w trybie użytkownika, wynikowy wynik jest wysyłany do SIGABRT, co daje wynik.
Konfiguracja sieci dla gości
I tu zaczyna się coś dziać nie tak. Sieć w trybie użytkownika W Linuksie cała koncepcja ograniczonego „trybu użytkownika” zaczyna się rozpadać. Przecież zazwyczaj na poziomie systemu sieć jest ograniczona uprzywilejowany tryby wykonania ze zrozumiałych dla nas wszystkich powodów.
Notatka. per.: możesz przeczytać więcej o różnych opcjach pracy z siecią w UML .
Dojazd do Slirp
Istnieje jednak starożytne i praktycznie nieobsługiwane narzędzie o nazwie , dzięki któremu Linux w trybie użytkownika może wchodzić w interakcję z siecią. Działa podobnie jak stos TCP/IP na poziomie użytkownika i nie wymaga do działania żadnych uprawnień systemowych. To narzędzie było wydany w 1995 roku, a najnowsza aktualizacja jest przestarzała 2006 rok. Slirp jest bardzo stary. W czasie braku wsparcia i aktualizacji kompilatory posunęły się tak daleko, że obecnie to narzędzie można opisać jedynie jako .
Pobierzmy więc Slirp z repozytoriów Ubuntu i spróbujmy go uruchomić:
sudo apt-get install slirp
/usr/bin/slirp
Slirp v1.0.17 (BETA)
Copyright (c) 1995,1996 Danny Gasparovski and others.
All rights reserved.
This program is copyrighted, free software.
Please read the file COPYRIGHT that came with the Slirp
package for the terms and conditions of the copyright.
IP address of Slirp host: 127.0.0.1
IP address of your DNS(s): 1.1.1.1, 10.77.0.7
Your address is 10.0.2.15
(or anything else you want)
Type five zeroes (0) to exit.
[autodetect SLIP/CSLIP, MTU 1500, MRU 1500, 115200 baud]
SLiRP Ready ...
fish: “/usr/bin/slirp” terminated by signal SIGSEGV (Address boundary error)O bogowie. Zainstalujmy debuger Slirpa i zobaczmy, czy uda nam się dowiedzieć, co się tutaj dzieje:
sudo apt-get install gdb slirp-dbgsym
gdb /usr/bin/slirp
GNU gdb (Ubuntu 8.1-0ubuntu3) 8.1.0.20180409-git
Copyright (C) 2018 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law. Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
Reading symbols from /usr/bin/slirp...Reading symbols from /usr/lib/debug/.build-id/c6/2e75b69581a1ad85f72ac32c0d7af913d4861f.debug...done.
done.
(gdb) run
Starting program: /usr/bin/slirp
Slirp v1.0.17 (BETA)
Copyright (c) 1995,1996 Danny Gasparovski and others.
All rights reserved.
This program is copyrighted, free software.
Please read the file COPYRIGHT that came with the Slirp
package for the terms and conditions of the copyright.
IP address of Slirp host: 127.0.0.1
IP address of your DNS(s): 1.1.1.1, 10.77.0.7
Your address is 10.0.2.15
(or anything else you want)
Type five zeroes (0) to exit.
[autodetect SLIP/CSLIP, MTU 1500, MRU 1500, 115200 baud]
SLiRP Ready ...
Program received signal SIGSEGV, Segmentation fault.
ip_slowtimo () at ip_input.c:457
457 ip_input.c: No such file or directory.Błąd w nas bije . Spójrzmy na stacktrace, może coś nam tam pomoże:
(gdb) bt full
#0 ip_slowtimo () at ip_input.c:457
fp = 0x55784a40
#1 0x000055555556a57c in main_loop () at ./main.c:980
so = <optimized out>
so_next = <optimized out>
timeout = {tv_sec = 0, tv_usec = 0}
ret = 0
nfds = 0
ttyp = <optimized out>
ttyp2 = <optimized out>
best_time = <optimized out>
tmp_time = <optimized out>
#2 0x000055555555b116 in main (argc=1, argv=0x7fffffffdc58) at ./main.c:95
No locals.Tutaj widzimy, że awaria ma miejsce podczas uruchamiania głównej pętli, gdy slirp próbuje sprawdzić przekroczenia limitu czasu. W tym momencie musiałem zrezygnować z debugowania. Ale zobaczmy, czy Slirp zbudowany z sortów działa. Pobrałem ponownie archiwum bezpośrednio ze strony , ponieważ przeciąganie czegoś stamtąd przez wiersz poleceń jest uciążliwe:
cd ~/dl
wget https://xena.greedo.xeserv.us/files/slirp-1.0.16.tar.gz
tar xf slirp-1.0.16.tar.gz
cd slirp-1.0.16/src
./configure --prefix=$HOME/prefix/slirp
make
Widzimy tu alerty o niezdefiniowanych funkcjach wbudowanych, czyli o braku możliwości powiązania wynikowego pliku binarnego. Wygląda na to, że pomiędzy 2006 rokiem a tym momentem gcc zaprzestało tworzenia symboli używanych we wbudowanych funkcjach pośrednich skompilowanych plików. Spróbujmy zastąpić słowo kluczowe inline na pusty komentarz i spójrz na wynik:
vi slirp.h
:6
a
<enter>
#define inline /**/
<escape>
:wq
makeNie. To też nie działa. Nadal nie mogę znaleźć symboli tych funkcji.
W tym momencie poddałem się i zacząłem szukać na Githubie . Moja teoria była taka, że jakiś pakiet kompilacji Heroku będzie zawierał potrzebne mi pliki binarne. W końcu poszukiwania doprowadziły mnie . Pobrałem i rozpakowałem uml.tar.gz i znalazłem co następuje:
total 6136
-rwxr-xr-x 1 cadey cadey 79744 Dec 10 2017 ifconfig*
-rwxr-xr-x 1 cadey cadey 373 Dec 13 2017 init*
-rwxr-xr-x 1 cadey cadey 149688 Dec 10 2017 insmod*
-rwxr-xr-x 1 cadey cadey 66600 Dec 10 2017 route*
-rwxr-xr-x 1 cadey cadey 181056 Jun 26 2015 slirp*
-rwxr-xr-x 1 cadey cadey 5786592 Dec 15 2017 uml*
-rwxr-xr-x 1 cadey cadey 211 Dec 13 2017 uml_run*To jest plik binarny slirp! Czy on pracuje?
./slirp
Slirp v1.0.17 (BETA) FULL_BOLT
Copyright (c) 1995,1996 Danny Gasparovski and others.
All rights reserved.
This program is copyrighted, free software.
Please read the file COPYRIGHT that came with the Slirp
package for the terms and conditions of the copyright.
IP address of Slirp host: 127.0.0.1
IP address of your DNS(s): 1.1.1.1, 10.77.0.7
Your address is 10.0.2.15
(or anything else you want)
Type five zeroes (0) to exit.
[autodetect SLIP/CSLIP, MTU 1500, MRU 1500]
SLiRP Ready ...
Nie zawiesza się - więc powinno działać! Umieśćmy ten plik binarny ~/bin/slirp:
cp slirp ~/bin/slirpW przypadku usunięcia go przez twórcę pakietu I .
Konfiguracja sieci
Teraz skonfigurujmy sieć na naszym jądrze gościa. :
linux
root=/dev/root
rootfstype=hostfs
rootflags=$HOME/prefix/uml-demo
rw
mem=64M
eth0=slirp,,$HOME/bin/slirp
init=/bin/shTeraz włączmy sieć:
mount -t proc proc proc/
mount -t sysfs sys sys/
ifconfig eth0 10.0.2.14 netmask 255.255.255.240 broadcast 10.0.2.15
route add default gw 10.0.2.2
Pierwsze dwa polecenia konfiguracyjne /proc и /sys niezbędne do pracy ifconfig, który ustawia interfejs sieciowy na komunikację z Slirpem. Zespół route ustawia tablicę routingu jądra, aby wymusić przesyłanie całego ruchu przez tunel Slirp. Sprawdźmy to za pomocą zapytania DNS:
nslookup google.com 8.8.8.8
Server: 8.8.8.8
Address 1: 8.8.8.8 dns.google
Name: google.com
Address 1: 172.217.12.206 lga25s63-in-f14.1e100.net
Address 2: 2607:f8b0:4006:81b::200e lga25s63-in-x0e.1e100.netРаботает!
Uwaga dot.: Najwyraźniej oryginalny post był pisany na komputerze stacjonarnym z przewodową kartą sieciową, lub inną konfiguracją, która nie wymagała dodatkowych sterowników. Na laptopie z Wi-Fi 8265 firmy Intel pojawia się błąd przy podnoszeniu sieci
/ # ifconfig eth0 10.0.2.14 netmask 255.255.255.240 broadcast 10.0.2.15
slirp_tramp failed - errno = 2
ifconfig: ioctl 0x8914 failed: No such file or directory
/ #Najwyraźniej jądro nie może komunikować się ze sterownikiem karty sieciowej. Próba wkompilowania oprogramowania do jądra niestety nie naprawiła sytuacji. W momencie publikacji nie było możliwości znalezienia rozwiązania w tej konfiguracji. W prostszych konfiguracjach (na przykład w Virtualboxie) interfejs rośnie poprawnie.
Zautomatyzujmy przekierowanie za pomocą następującego skryptu powłoki:
#!/bin/sh
# init.sh
mount -t proc proc proc/
mount -t sysfs sys sys/
ifconfig eth0 10.0.2.14 netmask 255.255.255.240 broadcast 10.0.2.15
route add default gw 10.0.2.2
echo "networking set up"
exec /tini /bin/shI oznacz go jako wykonywalny:
chmod +x init.shA następnie dokonamy zmian w wierszu poleceń jądra:
linux
root=/dev/root
rootfstype=hostfs
rootflags=$HOME/prefix/uml-demo
rw
mem=64M
eth0=slirp,,$HOME/bin/slirp
init=/init.sh
I powtórzmy:
SLiRP Ready ...
networking set up
/bin/sh: can't access tty; job control turned off
nslookup google.com 8.8.8.8
Server: 8.8.8.8
Address 1: 8.8.8.8 dns.google
Name: google.com
Address 1: 172.217.12.206 lga25s63-in-f14.1e100.net
Address 2: 2607:f8b0:4004:800::200e iad30s09-in-x0e.1e100.netSieć jest stabilna!
plik dokowany
Aby ułatwić Ci sprawdzenie tego wszystkiego, zebrałem , co automatyzuje większość opisanych kroków i powinno dać działającą konfigurację. też mam , w którym znajduje się wszystko co zostało opisane w poście. Ale ważne jest, aby zrozumieć, że tutaj przedstawiłem tylko ustawienie minimalne.
Mam nadzieję, że ten post pomógł ci zrozumieć, jak podnieść jądro gościa. Okazało się, że to jakiś potwór, ale publikacja została pomyślana jako kompleksowy przewodnik na temat budowania, instalowania i konfigurowania trybu użytkownika w systemie Linux pod nowoczesnymi wersjami systemów operacyjnych z tej rodziny. Kolejne kroki powinny obejmować instalację usług i innego oprogramowania znajdującego się już w systemie gościa. Ponieważ obrazy kontenerów Dockera są po prostu opublikowanymi plikami tar, powinno być możliwe wyodrębnienie obrazu za pomocą docker export, a następnie określ ścieżkę instalacji w katalogu głównym systemu plików jądra gościa. Cóż, następnie wykonaj skrypt powłoki.
Specjalne podziękowania dla Rkeene z #lobsters na Freenode. Bez jego pomocy w debugowaniu Slirpa nie dotarłbym tak daleko. Nie mam pojęcia, jak jego system Slackware działa poprawnie z slirpem, ale moje systemy Ubuntu i Alpine nie akceptują slirp i zasugerował mi binarny Rkeene. Ale mi wystarczy, że chociaż na mnie coś działa.
Źródło: www.habr.com