Docker Alpine 上的容器 Linux 3.7：奇怪的 pid 1 在容器的 pid 命名空间中不可见

Question

我目前正在跟踪我们在 Alpine Linux 3.7 主机上使用 dockerd 17.10.0-ce 时遇到的奇怪问题。对于此主机上的所有容器，似乎 Docker 图像的 entrypoint/command 启动的进程树在容器本身内不可见。相比之下，在 Ubuntu 主机上，同一图像的进程树将显示为 PID 1。

这是一个例子。

运行 一个显式已知的容器 entrypoint/command:

% docker run -d --name testcontainer --rm busybox /bin/sh -c 'sleep 1000000'

验证进程是否被 dockerd 正确识别：

% docker top testcontainer
PID                 USER                TIME                COMMAND
6729                root                0:00                /bin/sh -c sleep 1000000
6750                root                0:00                sleep 1000000

现在，在该容器内启动一个 shell 并检查进程列表：

% docker exec -t -i testcontainer /bin/sh
/ # ps -ef
PID   USER     TIME   COMMAND
    6 root       0:00 /bin/sh
   12 root       0:00 ps -ef

可以看出，我们的入口点命令 (/bin/sh -c 'sleep 1000000') 在容器本身内部是不可见的。即使 运行 top 也会产生相同的结果。

这里有我遗漏的东西吗？在具有相同 docker 引擎版本的 Ubuntu 主机上，结果如我所料。这可能与 Alpine 的强化内核有关，导致容器 PID space 的分离方式出现问题吗？

任何有助于调查领域的帮助。

-b

Answer 1

这个问题似乎与 Alpine 内核实现的 grsecurity 模块有关。在这种特定情况下，GRKERNSEC_CHROOT_FINDTASK 内核设置用于限制进程在 chroot 环境之外可以执行的操作。这是由 kernel.grsecurity.chroot_findtask sysctl 变量控制的。

来自 grsecurity 文档：

kernel.grsecurity.chroot_findtask

If you say Y here, processes inside a chroot will not be able to kill, send signals with fcntl, ptrace, capget, getpgid, setpgid, getsid, or view any process outside of the chroot. If the sysctl option is enabled, a sysctl option with name "chroot_findtask" is created.

我现在找到的唯一解决方法是禁用此标志以及 chroot_deny_mknod 和 chroot_deny_chmod 标志，以获得与非 grsecurity 内核相同的行为。

kernel.grsecurity.chroot_deny_mknod=0
kernel.grsecurity.chroot_deny_chmod=0
kernel.grsecurity.chroot_findtask=0

当然这不太理想，因为它会绕过并禁用系统的安全功能，但对于开发环境来说可能是一个有效的解决方法。