您尚未登录。

#1 2021-02-21 13:36:27

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 1,267

怎样让systemd --user运行于单独的mount namespace中?

想法是这样的,将用户与系统分离开,系统进程进行所有特权操作,例如系统更新,账户管理之类的,用户的进程无法直接变更系统,必须与系统的特权服务进程通信,经过polkit之类的服务鉴权后由服务进程进行操作(例如系统更新,启停/启用禁用服务,账户管理之类的),整个系统再也不要有set-uid-root这种的东西。

如果从systemd --user开始所有的用户进程都运行于mount namespaces中,这个mount namespace将根目录改为系统根文件系统与某个用户可写目录的overlayfs,这样用户就可以直接使用系统级工具变更自己的配置而不影响OS,包括各种package manager(pip/pacman之类的)和 systemd user service,软件也不需要任何用户级配置文件的概念。

要做到这些该怎么办呢?我知道每次用户登录,display manager或者sshd会跟logind通信启动systemd --user,但是这个过程我怎么控制,是不是要自己写PAM模块控制用户session创建的过程?那个PAM的文档我感觉写的不是特别详细啊,能否有其他方式控制,让systemd --user在新的mount namespace运行?

最近编辑记录 xtricman (2021-02-21 19:10:58)


反社会,精神极其不稳定,随时可能炸碎身边所有人

离线

#2 2021-02-21 13:51:55

依云
会员
所在地: a.k.a. 百合仙子
注册时间: 2011-08-21
帖子: 8,961
个人网站

Re: 怎样让systemd --user运行于单独的mount namespace中?

可以是可以。你这是要把多用户系统伪装成单用户的?

离线

#3 2021-02-21 14:21:40

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 1,267

Re: 怎样让systemd --user运行于单独的mount namespace中?

依云 说:

可以是可以。你这是要把多用户系统伪装成单用户的?

…我又没说不让登录别的用户,别的用户照旧登录啊,只是系统用户互相分隔清楚,用户不要动系统。这Windows的UAC虚拟化不是就这样玩嘛

我是想问怎么做。

最近编辑记录 xtricman (2021-02-21 14:29:09)


反社会,精神极其不稳定,随时可能炸碎身边所有人

离线

#4 2021-02-21 15:33:50

依云
会员
所在地: a.k.a. 百合仙子
注册时间: 2011-08-21
帖子: 8,961
个人网站

Re: 怎样让systemd --user运行于单独的mount namespace中?

rootfs 准备好,然后 systemd-nspawn 一下?

离线

#5 2021-02-21 19:05:57

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 1,267

Re: 怎样让systemd --user运行于单独的mount namespace中?

依云 说:

rootfs 准备好,然后 systemd-nspawn 一下?

我想你可能没有明白我的意思,或者我说的不太清楚

一般的,登录管理器进程(sddm或者gdm或者sshd)会自己负责认证用户并让用户登录,这个登录实际上是与logind 进行dbus通信,创建用户session(如果该用户之前没有活着的session或者该用户设定了linger则还需要创建一个systemd --user进程并且systemd --user会启动所有该自启动的用户服务)。

systemd-nsspawn会生成沙盒或者容器,logind不会感知到,也不会形成原来logind的session概念。

如果这样,相当于彻底抛弃了logind提供的session管理功能(dropbear的某版本是这样的,客户端连接过来它会直接创建子进程,自己管理ssh登录会话,logind啥都不知道,loginctl也查不到系统上有某用户的remote session,用户虽然“登录”了,用户服务不会运行,要用sytemctl status就能看见此时系统的cgroup树状态)

我并不要求沙盒那么重的方案,仅仅需要整个user slice(也即用户登录的所有进程,包括systemd --user,用户级服务,用户session中的进程)运行于一个mount namespace中(以使得用户可以自由编辑系统配置而不真正影响系统),用户或特权进程依然可以靠原来的logind的dbus接口管理用户session

最近编辑记录 xtricman (2021-02-21 19:07:31)


反社会,精神极其不稳定,随时可能炸碎身边所有人

离线

#6 2021-02-21 19:10:26

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 1,267

Re: 怎样让systemd --user运行于单独的mount namespace中?

你说的那种方案是一个用户即一个容器,实际上把logind完全抛弃了,用户甚至可以不用systemd,完全自主。我并不希望这么做,我还是很喜欢logind的


反社会,精神极其不稳定,随时可能炸碎身边所有人

离线

#7 2021-02-21 19:20:44

依云
会员
所在地: a.k.a. 百合仙子
注册时间: 2011-08-21
帖子: 8,961
个人网站

Re: 怎样让systemd --user运行于单独的mount namespace中?

你可以在 logind 登录完成之后再跑嘛。

离线

#8 2021-02-21 20:21:17

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 1,267

Re: 怎样让systemd --user运行于单独的mount namespace中?

依云 说:

你可以在 logind 登录完成之后再跑嘛。

等登录完了用户服务已经启动了啊,systemd --user和用户服务不就全部不在mount namespace里了吗?如果只有session进程那我session一开始就执行unshare就好了啊,都没必要用上任何沙盒软件,我就是要用户整个cgroup都在mount namespace里


反社会,精神极其不稳定,随时可能炸碎身边所有人

离线

#9 2021-02-21 20:27:56

依云
会员
所在地: a.k.a. 百合仙子
注册时间: 2011-08-21
帖子: 8,961
个人网站

Re: 怎样让systemd --user运行于单独的mount namespace中?

xtricman 说:

等登录完了用户服务已经启动了啊,systemd --user和用户服务不就全部不在mount namespace里了吗?如果只有session进程那我session一开始就执行unshare就好了啊,都没必要用上任何沙盒软件,我就是要用户整个cgroup都在mount namespace里

那个你不用不就好了。

离线

#10 2021-02-22 09:04:19

布丁酱
Arch!Arch!Arch!
所在地: 成都
注册时间: 2020-07-27
帖子: 197
个人网站

Re: 怎样让systemd --user运行于单独的mount namespace中?

我也以为在说systemd-nspawn。。。


布丁酱是菜鸡,没毛病,他是菜鸡:)

离线

页脚