Provided by: manpages-ru-dev_4.21.0-2_all bug

ИМЯ

       setns - повторно связывает нить с пространством имён

LIBRARY

       Standard C library (libc, -lc)

СИНТАКСИС

       #define _GNU_SOURCE             /* Смотрите feature_test_macros(7) */
       #include <sched.h>

       int setns(int fd, int nstype);

ОПИСАНИЕ

       The setns()  system call allows the calling thread to move into different namespaces.  The
       fd argument is one of the following:

       •  a file descriptor referring to one of the magic links in a /proc/pid/ns/ directory  (or
          a bind mount to such a link);

       •  a PID file descriptor (see pidfd_open(2)).

       The nstype argument is interpreted differently in each case.

   fd refers to a /proc/[pid]/ns/ link
       If  fd  refers to a /proc/pid/ns/ link, then setns()  reassociates the calling thread with
       the namespace associated with that link, subject to any constraints imposed by the  nstype
       argument.  In this usage, each call to setns()  changes just one of the caller's namespace
       memberships.

       В аргументе nstype указывается тип пространства имён, с которым вызывающая нить может быть
       повторно связана. Данный аргумент может иметь одно из следующих значений:

       0      Разрешить подключиться к пространству имён любого типа.

       CLONE_NEWCGROUP (начиная с Linux 4.6)
              Значение fd должно указывать на пространство имён cgroup.

       CLONE_NEWIPC (начиная с Linux 3.0)
              Значение fd должно указывать на пространство имён IPC.

       CLONE_NEWNET (начиная с Linux 3.0)
              Значение fd должно указывать на пространство имён network.

       CLONE_NEWNS (начиная с Linux 3.8)
              Значение fd должно указывать на пространство имён mount.

       CLONE_NEWPID (начиная с Linux 3.8)
              Значение fd должно указывать на пространство имён PID потомков.

       CLONE_NEWTIME (начиная с Linux 5.8)
              fd must refer to a time namespace.

       CLONE_NEWUSER (начиная с Linux 3.8)
              Значение fd должно указывать на пространство имён user.

       CLONE_NEWUTS (начиная с Linux 3.0)
              Значение fd должно указывать на пространство имён UTS.

       Установка nstype в 0 имеет смысл только, если вызывающий знает (или ему не важно) на какой
       тип пространства имён ссылается fd. Назначение ненулевого значения в nstype полезно,  если
       вызывающий  не  знает на какой тип пространства имён ссылается fd. и хочет быть уверенным,
       что пространство имён именно нужного типа (вызывающий может не знать тип пространства имён
       на который указывает fd, если файловый дескриптор был открыт другим процессом и, например,
       передан вызывающему через доменный сокет UNIX).

   fd is a PID file descriptor
       Since Linux 5.8, fd may refer to a PID file descriptor  obtained  from  pidfd_open(2)   or
       clone(2).  In this usage, setns()  atomically moves the calling thread into one or more of
       the same namespaces as the thread referred to by fd.

       The nstype argument is a bit  mask  specified  by  ORing  together  one  or  more  of  the
       CLONE_NEW*  namespace constants listed above.  The caller is moved into each of the target
       thread's namespaces that is specified in nstype; the caller's memberships in the remaining
       namespaces are left unchanged.

       For example, the following code would move the caller into the same user, network, and UTS
       namespaces as  PID  1234,  but  would  leave  the  caller's  other  namespace  memberships
       unchanged:

           int fd = pidfd_open(1234, 0);
           setns(fd, CLONE_NEWUSER | CLONE_NEWNET | CLONE_NEWUTS);

   Информация по определённым типам пространств имён
       Некоторые  примечания  и  ограничения  при  пересопряжении с некоторыми типами пространств
       имён:

       Пользовательские пространства имён
              Для пересопряжения процесса с  пространством  имён  пользователя  он  должен  иметь
              мандат   CAP_SYS_ADMIN   в   назначаемом   пространстве   имён   пользователя  (эта
              необходимость  подразумевает,   что   возможно   присоединение   только   дочернего
              пространства  имён  пользователя).  При  успешном присоединении к пространству имён
              пользователя процесс получает все мандаты в этом пространстве имён,  независимо  от
              своего ID пользователя и группы.

              Многонитевой  процесс  не  может  изменить пространство имён пользователя с помощью
              setns().

              Запрещается использовать setns() для повторного  вхождения  вызывающего  в  текущее
              пространство  имён  пользователя.  Это  не  позволяет  вызывающему, оставшемуся без
              мандатов, повторно получить их через вызов setns().

              По  причинам,  связанным  с  безопасностью,  процесс  не  может   войти   в   новое
              пользовательское  пространство  имён,  если  он  сообща владеет атрибутами файловых
              систем (атрибуты, чьё наследование управляется флагом CLONE_FS в clone(2)) с другим
              процессом.

              Дополнительную   информацию   о  пользовательских  пространствах  имён  смотрите  в
              user_namespaces(7).

       Пространства имён монтирования
              Для смены пространства имён монтирования требуется, чтобы вызывающий  процесс  имел
              мандаты  CAP_SYS_CHROOT  и  CAP_SYS_ADMIN  в своём пространстве имён пользователя и
              мандат CAP_SYS_ADMIN в  пользовательском  пространстве  имён,  которое  принадлежит
              целевому пространству имён монтирования.

              Процесс  не  может  войти  в  новое  пространство имён монтирования, если он сообща
              владеет атрибутами файловых систем (атрибуты, чьё наследование  управляется  флагом
              CLONE_FS в clone(2)) с другим процессом.

              Подробную   информацию   взаимодействии   пользовательского  пространствах  имён  и
              пространства имён монтирования смотрите в user_namespaces(7).

       Пространства имён PID
              Чтобы пересопрячь новое пространство имён PID  c  самим  собой,  вызывающий  должен
              иметь  мандат  CAP_SYS_ADMIN  в своём пространстве имён пользователя и пространстве
              имён пользователя целевого пространства имён PID.

              Reassociating the PID namespace has somewhat different from other namespace  types.
              Reassociating  the  calling  thread  with  a  PID  namespace  changes  only the PID
              namespace that subsequently created child processes of the caller  will  be  placed
              in; it does not change the PID namespace of the caller itself.

              Reassociating with a PID namespace is allowed only if the target PID namespace is a
              descendant (child, grandchild, etc.)  of, or  is  the  same  as,  the  current  PID
              namespace of the caller.

              Дополнительную информацию о пространствах имён PID смотрите в pid_namespaces(7).

       Пространства имён cgroup
              Чтобы  пересопрячь  новое пространство имён cgroup c самим собой, вызывающий должен
              иметь мандат CAP_SYS_ADMIN в своём пространстве имён  пользователя  и  пространстве
              имён пользователя целевого пространства имён cgroup.

              Использование  setns()   для  изменения  пространства  имён  cgroup  вызывающего не
              изменяет членство cgroup вызывающего.

       Network, IPC, time, and UTS namespaces
              In order to reassociate itself with a new network, IPC, time, or UTS namespace, the
              caller must have the CAP_SYS_ADMIN capability both in its own user namespace and in
              the user namespace that owns the target namespace.

ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ

       При успешном выполнении  setns()  возвращает  0.  При  ошибке  возвращается  -1,  и  errno
       устанавливается в соответствующее значение.

ОШИБКИ

       EBADF  Значение fd не является правильным файловым дескриптором.

       EINVAL Значение  fd ссылается на пространство имён, чей тип не соответствует с указанным в
              nstype.

       EINVAL Эти проблемы возникают при повторном  связывании  нити  с  указанным  пространством
              имён.

       EINVAL Вызывающий  пытается  объединиться  с  пространством  имён  PID  предка  (родителя,
              родителя родителя и т. д.).

       EINVAL Вызывающий пытается объединиться с пространством имён пользователя,  в  которое  он
              уже входит.

       EINVAL Вызывающий  сообща  владеет  состоянием  файловой  системы (CLONE_FS) (в частности,
              корневой каталог) с другим процессом и пытается объединить  новое  пользовательское
              пространство имён.

       EINVAL Вызывающий состоит из нескольких нитей и пытается объединить новое пользовательское
              пространство имён.

       EINVAL fd is a PID file descriptor and nstype is invalid (e.g., it is 0).

       ENOMEM Невозможно выделить достаточно памяти для изменения указанного пространства имён.

       EPERM  Вызывающая нить не имеет требуемого мандата для этой операции.

       ESRCH  fd is a PID file descriptor but the process it refers to no longer exists (i.e., it
              has terminated and been waited on).

ВЕРСИИ

       The  setns()   system call first appeared in Linux 3.0; library support was added in glibc
       2.14.

СТАНДАРТЫ

       Системный вызов setns() есть только в Linux.

ЗАМЕЧАНИЯ

       For further information on the /proc/pid/ns/ magic links, see namespaces(7).

       Не все атрибуты, которыми можно владеть сообща при создании новой  нити  с  помощью  using
       clone(2), можно изменить с помощью setns().

ПРИМЕРЫ

       Программа,  представленная  ниже,  ожидает  два  и  более  аргументов.  В  первом аргумент
       указывается путь к файлу  пространства  имён  в  существующем  каталоге  /proc/pid/ns/.  В
       остальных  аргументах  указывается  команда  и  её  параметры.  Программа  открывает  файл
       пространства имён,  объединяет  это  пространство  имён  с  помощью  setns()  и  выполняет
       указанную команду внутри этого пространства имён.

       В  следующем  сеансе  оболочки  показано  использование этой программы (скомпилирована под
       именем ns_exec) вместе  с  примером  для  CLONE_NEWUTS  из  справочной  страницы  clone(2)
       (скомпилирована под именем newuts).

       Сначала мы запускаем программу из clone(2) в фоновом режиме. Эта программа создаёт потомка
       в отдельном пространстве имён UTS. Потомок изменяет имя узла в своём пространстве имён,  а
       затем  оба  процесса отображают имена узлов в своих пространствах имён UTS для того, чтобы
       мы увидели, что они разные.

           $ su                   # Требуются права для выполнения
                                     # операций с пространством имён
           Password:
           # ./newuts bizarro &
           [1] 3549
           clone() returned 3550
           uts.nodename in child:  bizarro
           uts.nodename in parent: antero
           # uname -n             # проверяем имя узла в оболочке
           antero

       Затем мы запускаем программу, показанную ниже,  используя  ту  же  оболочку.  Внутри  этой
       оболочки  мы  проверяем,  что  имя  узла  —  одно из изменённых потомком, созданным первой
       программой:

           # ./ns_exec /proc/3550/ns/uts /bin/bash
           # uname -n             # выполняется в оболочке, запущенной ns_exec
           bizarro

   Исходный код программы
       #define _GNU_SOURCE
       #include <err.h>
       #include <fcntl.h>
       #include <sched.h>
       #include <stdio.h>
       #include <stdlib.h>
       #include <unistd.h>

       int
       main(int argc, char *argv[])
       {
           int fd;

           if (argc < 3) {
               fprintf(stderr, "%s /proc/PID/ns/FILE команда аргументы…\n", argv[0]);
               exit(EXIT_FAILURE);
           }

           /* Get file descriptor for namespace; the file descriptor is opened
              with O_CLOEXEC so as to ensure that it is not inherited by the
              program that is later executed. */

           fd = open(argv[1], O_RDONLY | O_CLOEXEC);
           if (fd == -1)
               err(EXIT_FAILURE, "open");

           if (setns(fd, 0) == -1)       /* объединяемся с этим пространством имён */
               err(EXIT_FAILURE, "setns");

           execvp(argv[2], &argv[2]);    /* выполняем команду в пространстве имён */
           err(EXIT_FAILURE, "execvp");
       }

СМ. ТАКЖЕ

       nsenter(1), clone(2), fork(2), unshare(2), vfork(2), namespaces(7), unix(7)

ПЕРЕВОД

       Русский   перевод   этой   страницы   руководства    был    сделан    Alexander    Golubev
       <fatzer2@gmail.com>,   Azamat   Hackimov  <azamat.hackimov@gmail.com>,  Hotellook,  Nikita
       <zxcvbnm3230@mail.ru>,       Spiros       Georgaras       <sng@hellug.gr>,       Vladislav
       <ivladislavefimov@gmail.com>,    Yuri    Kozlov   <yuray@komyakino.ru>   и   Иван   Павлов
       <pavia00@gmail.com>

       Этот  перевод  является  бесплатной  документацией;  прочитайте  Стандартную  общественную
       лицензию GNU версии 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ или более позднюю, чтобы
       узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ.

       Если вы обнаружите ошибки в переводе  этой  страницы  руководства,  пожалуйста,  отправьте
       электронное письмо на ⟨man-pages-ru-talks@lists.sourceforge.net⟩.