วิธีการสร้างกลุ่มผู้ใช้ด้วย systemd

ฉันใช้lxcตู้คอนเทนเนอร์ที่Arch Linuxไม่ได้รับสิทธิพิเศษมา นี่คือข้อมูลพื้นฐานของระบบ:

[chb@conventiont ~]$ uname -a
Linux conventiont 3.17.4-Chb #1 SMP PREEMPT Fri Nov 28 12:39:54 UTC 2014 x86_64 GNU/Linux

มันเป็นเคอร์เนลที่กำหนดเอง / คอมไพล์ด้วยuser namespace enabled:

[chb@conventiont ~]$ lxc-checkconfig 
--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled
Pid namespace: enabled
User namespace: enabled
Network namespace: enabled
Multiple /dev/pts instances: enabled

--- Control groups ---
Cgroup: enabled
Cgroup clone_children flag: enabled
Cgroup device: enabled
Cgroup sched: enabled
Cgroup cpu account: enabled
Cgroup memory controller: enabled
Cgroup cpuset: enabled

--- Misc ---
Veth pair device: enabled
Macvlan: enabled
Vlan: enabled
File capabilities: enabled

Note : Before booting a new kernel, you can check its configuration
usage : CONFIG=/path/to/config /usr/bin/lxc-checkconfig

[chb@conventiont ~]$ systemctl --version
systemd 217
+PAM -AUDIT -SELINUX -IMA -APPARMOR +SMACK -SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS +KMOD +IDN 

แต่น่าเสียดายที่systemdไม่ได้เล่นได้ดีกับlxcปัจจุบัน โดยเฉพาะอย่างยิ่งการตั้งค่าcgroupsสำหรับผู้ใช้ที่ไม่ใช่รูทดูเหมือนจะทำงานได้ไม่ดีหรือฉันก็ไม่คุ้นเคยกับวิธีการทำเช่นนี้ lxcจะเริ่มต้นภาชนะในโหมดด้อยโอกาสเมื่อมันสามารถสร้าง cgroups /sys/fs/cgroup/XXX/*จำเป็น อย่างไรก็ตามเรื่องนี้เป็นไปไม่ได้lxcเพราะsystemdม้าrootลำดับชั้น cgroup /sys/fs/cgroup/*ใน วิธีแก้ปัญหาดูเหมือนจะทำต่อไปนี้:

for d in /sys/fs/cgroup/*; do
        f=$(basename $d)
        echo "looking at $f"
        if [ "$f" = "cpuset" ]; then
                echo 1 | sudo tee -a $d/cgroup.clone_children;
        elif [ "$f" = "memory" ]; then
                echo 1 | sudo tee -a $d/memory.use_hierarchy;
        fi
        sudo mkdir -p $d/$USER
        sudo chown -R $USER $d/$USER
        echo $$ > $d/$USER/tasks
done

รหัสนี้สร้างcgroupไดเรกทอรีที่สอดคล้องกันในcgroupลำดับชั้นสำหรับผู้ใช้ที่ไม่มีสิทธิ์ อย่างไรก็ตามสิ่งที่ฉันไม่เข้าใจเกิดขึ้น ก่อนดำเนินการตามที่กล่าวมาฉันจะเห็นสิ่งนี้:

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope

หลังจากรันโค้ดข้างต้นฉันเห็นในเชลล์ฉันรันใน:

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/chb
7:net_cls:/chb
6:freezer:/chb
5:devices:/chb
4:memory:/chb
3:cpu,cpuacct:/chb
2:cpuset:/chb
1:name=systemd:/chb

แต่ในเปลือกอื่น ๆ ฉันยังเห็น:

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope

ดังนั้นฉันสามารถเริ่มต้นlxcภาชนะunprivileged ของฉันในเปลือกฉันเรียกใช้รหัสที่กล่าวถึงข้างต้น แต่ไม่ได้อยู่ในอื่น ๆ

1. มีคนอธิบายพฤติกรรมนี้ได้ไหม

2. มีคนพบวิธีที่ดีกว่าในการตั้งค่าสิ่งที่จำเป็นcgroupsด้วยsystemd( >= 217) รุ่นปัจจุบันหรือไม่?

ทางออกที่ดีกว่าและปลอดภัยกว่าคือการติดตั้งcgmanagerและเรียกใช้งานด้วยsystemctl start cgmanager(ในฐานsystemddistro) คุณสามารถมีrootผู้ใช้ของคุณหรือถ้าคุณมีsudoสิทธิ์ในโฮสต์ที่สร้างขึ้นcgroupsสำหรับผู้ใช้ที่ไม่มีสิทธิ์ของคุณในตัวควบคุมทั้งหมดด้วย:

sudo cgm create all $USER
sudo cgm chown all $USER $(id -u $USER) $(id -g $USER)

เมื่อพวกเขาถูกสร้างขึ้นสำหรับผู้ใช้ที่ไม่มีสิทธิ์ของเขา / เธอสามารถย้ายกระบวนการที่เขาสามารถเข้าถึงได้cgroupสำหรับตัวควบคุมทุกตัวโดยใช้:

cgm movepid all $USER $PPID

ปลอดภัยเร็วกว่าและเชื่อถือได้มากกว่าเชลล์สคริปต์ที่ฉันโพสต์

วิธีแก้ปัญหาด้วยตนเอง:

เพื่อตอบ 1

for d in /sys/fs/cgroup/*; do
        f=$(basename $d)
        echo "looking at $f"
        if [ "$f" = "cpuset" ]; then
                echo 1 | sudo tee -a $d/cgroup.clone_children;
        elif [ "$f" = "memory" ]; then
                echo 1 | sudo tee -a $d/memory.use_hierarchy;
        fi
        sudo mkdir -p $d/$USER
        sudo chown -R $USER $d/$USER
        echo $$ > $d/$USER/tasks
done

ผมก็ไม่รู้เกี่ยวกับสิ่งที่เกิดขึ้นว่าเมื่อผมเขียนสคริปต์ที่ แต่อ่านนี้และการทดลองบิตช่วยให้ผมเข้าใจสิ่งที่เกิดขึ้น สิ่งที่ฉันทำโดยทั่วไปในสคริปต์นี้คือการสร้างcgroupเซสชันใหม่สำหรับปัจจุบันuserซึ่งเป็นสิ่งที่ฉันระบุไว้ข้างต้น เมื่อฉันเรียกใช้คำสั่งเหล่านี้ในปัจจุบันshellหรือเรียกใช้พวกเขาในสคริปต์และทำให้มันได้รับการประเมินในปัจจุบันshellและไม่ได้อยู่ในsubshell(ผ่าน. scriptThe .เป็นสิ่งสำคัญสำหรับการทำงาน!) คือฉันไม่เพียงแค่เปิดเซสชันใหม่สำหรับuserแต่เพิ่มเชลล์ปัจจุบันเป็นกระบวนการที่ทำงานใน cgroup ใหม่นี้ ฉันสามารถบรรลุผลเดียวกันโดยใช้สคริปต์ใน subshell แล้วลงไปในcgroupลำดับชั้นในchb subcgroupและใช้echo $$ > taskschb cgroup hierarchyเพื่อเพิ่มเปลือกปัจจุบันสมาชิกของทุก

ดังนั้นเมื่อฉันเรียกใช้lxcในเชลล์ปัจจุบันนั้นคอนเทนเนอร์ของฉันจะกลายเป็นสมาชิกของchb subcgroups ทั้งหมดที่ปัจจุบันshellเป็นสมาชิกอยู่ นั่นคือจะบอกว่าฉันcontainerสืบทอดสถานะของฉันcgroup shellนอกจากนี้ยังอธิบายว่าทำไมมันไม่ทำงานในเชลล์อื่น ๆ ที่ไม่ได้เป็นส่วนหนึ่งของchb subcgroups ปัจจุบัน

2.ฉันยังคงผ่านที่ เราอาจต้องรอการsystemdอัปเดตหรือการKernelพัฒนาเพิ่มเติมเพื่อให้systemdมีพฤติกรรมที่สอดคล้องกัน แต่ฉันชอบการตั้งค่าด้วยตนเองเนื่องจากมันบังคับให้คุณเข้าใจสิ่งที่คุณทำ

ที่จริงแล้วใน archlinux สิ่งนี้จะไม่ทำงานเช่นผู้ใช้ที่ไม่มีสิทธิพิเศษ (แนะนำเมื่อใช้ unpriv. lxc container) เช่นผู้ใช้นั้นไม่มี sudo :)

ให้กำหนดกลุ่มใน /etc/cgconfig.conf เปิดใช้งาน cgconfig, cgrules (libcgroup ใน AUR) เพิ่ม cgrules เช่นกันทำ .. unpriv ผู้ใช้จะมีสิทธิ์เหมือนกัน

ใน systemd 218 (ฉันไม่รู้ว่าเมื่อไหร่ แต่ดูเหมือนว่าจะต้องเพิ่มสองเงื่อนไขเพิ่มเติมเนื่องจากไม่ได้ตั้งค่าเมื่อสร้างจากวิธี cgconfig):

cat /etc/cgconfig.conf

group lxcadmin {
perm {
    task {
        uid = lxcadmin;
        gid = lxcadmin;
    }
    admin {
        uid = lxcadmin;
        gid = lxcadmin;
    }
}
cpu { }
memory { memory.use_hierarchy = 1; }  
blkio { }
cpuacct { }
cpuset { 
    cgroup.clone_children = 1;
    cpuset.mems = 0;
    cpuset.cpus = 0-3; 
}
devices { }
freezer { }
hugetlb { }
net_cls { }
}

cat /etc/cgrules.conf
lxcadmin        *       lxcadmin/

สมมติว่ามีการรวบรวม namespace ในเคอร์เนล

นี่คือเทมเพลตซีพียูสามารถเป็นไปตามจำนวนแกนที่คุณมี mem สามารถตั้งค่าเป็นค่าจริง ฯลฯ

แก้ไข 2: ในที่สุดใน systemd หากคุณต้องการใช้การเริ่มอัตโนมัติกับผู้ใช้ที่ไม่มีสิทธิเช่นคุณสามารถทำได้:

cp /usr/lib/systemd/system/lxc{,admin}\@.service จากนั้นเพิ่มผู้ใช้ = lxcadmin

และเปิดใช้งานสำหรับคอนเทนเนอร์ของ lxcadmin ชื่อ lolz systemctl enable lxcadmin @ lolz

ดังนั้นฉันจึงพบปัญหาเดียวกันเมื่อพยายามให้ตู้คอนเทนเนอร์ที่ไม่ได้รับสิทธิ LXC ทำงานบน CentOS 7 ฉันไม่ต้องการใช้cgmanagerเพราะฉันไม่ต้องการแนะนำบริการเพิ่มเติมใด ๆ หากไม่จำเป็นจริงๆ สิ่งที่ฉันทำแทนการ patching systemd โดยใช้ patch บางตัวจากแพ็คเกจ ubuntu และ patch ที่กำหนดเองหนึ่งอันเพื่อขยายรายการของ cgroup controllers ฉันมีแหล่งที่มาที่จำเป็นในการสร้าง RPM ในบัญชีของฉันที่ GitHub https://github.com/CtrlC-Root/rpmdist ฉันยังมีรุ่น shadow-utils ที่แพตช์ (สำหรับ subuids และ subgids) และ pam (สำหรับ loginuid) หลังจากที่ฉันติดตั้ง RPMs เหล่านี้และกำหนดค่าผู้ใช้ให้เรียกใช้คอนเทนเนอร์ที่ไม่ได้รับสิทธิพิเศษ (กำหนด subuids & subgids จัดสรรคู่ veth ใน lxc-usernet สร้าง. config / lxc / default.conf ฯลฯ ) ฉันสามารถเรียกใช้ LXC unprivileged container ได้ดี

แก้ไข: อีกเหตุผลที่ฉันไม่ต้องการใช้ cgmanager ก็เพราะฉันไม่ต้องการให้ผู้ใช้ทั่วไปต้องใช้ sudo เลย ผู้ใช้ทั่วไปควรจะสามารถเข้าสู่ระบบและทุกอย่างควร "เพิ่งทำงาน" นอกกรอบ