本文发表于一年多前。旧文章可能包含过时内容。请检查页面中的信息自发布以来是否已变得不正确。

容器取证分析

作者：Adrian Reber (红帽) | 2023 年 3 月 10 日，星期五

在我之前的文章《Kubernetes 中的容器取证检查点（Alpha）》中，我介绍了 Kubernetes 中的检查点，以及如何设置和使用它。该功能的名称是“容器取证检查点”，但我没有详细介绍如何对 Kubernetes 创建的检查点进行实际分析。在本文中，我将详细介绍如何分析检查点。

检查点仍然是 Kubernetes 中的一项 Alpha 功能，本文旨在提供该功能未来可能如何工作的预览。

准备工作

有关如何配置 Kubernetes 和底层 CRI 实现以启用检查点支持的详细信息，请参阅我的文章《Kubernetes 中的容器取证检查点（Alpha）》。

例如，我准备了一个容器镜像（quay.io/adrianreber/counter:blog），我将在本文中对其进行检查点并进行分析。这个容器允许我在容器中创建文件，并在内存中存储信息，我稍后会在检查点中找到这些信息。

为了运行该容器，我需要一个 Pod，在此示例中，我使用以下 Pod 清单

apiVersion: v1
kind: Pod
metadata:
  name: counters
spec:
  containers:
  - name: counter
    image: quay.io/adrianreber/counter:blog

这导致一个名为 counter 的容器在一个名为 counters 的 Pod 中运行。

容器运行后，我将对该容器执行以下操作

$ kubectl get pod counters --template '{{.status.podIP}}'
10.88.0.25
$ curl 10.88.0.25:8088/create?test-file
$ curl 10.88.0.25:8088/secret?RANDOM_1432_KEY
$ curl 10.88.0.25:8088

第一次访问在容器中创建了一个名为 test-file 的文件，内容为 test-file，第二次访问将我的秘密信息（RANDOM_1432_KEY）存储在容器内存中的某个位置。最后一次访问只是在内部日志文件中添加了一行。

在分析检查点之前的最后一步是告诉 Kubernetes 创建检查点。如前一篇文章所述，这需要访问 kubelet 的 checkpoint API 端点。

对于默认命名空间中名为 counters 的 Pod 中名为 counter 的容器，kubelet API 端点可在以下位置访问

# run this on the node where that Pod is executing
curl -X POST "https://:10250/checkpoint/default/counters/counter"

为完整起见，以下 curl 命令行选项是必要的，以使 curl 接受 kubelet 的自签名证书并授权使用 kubelet checkpoint API

--insecure --cert /var/run/kubernetes/client-admin.crt --key /var/run/kubernetes/client-admin.key

检查点完成后，检查点应在 /var/lib/kubelet/checkpoints/checkpoint-<pod-name>_<namespace-name>-<container-name>-<timestamp>.tar 下可用

在本文的以下步骤中，我将使用名称 checkpoint.tar 来分析检查点归档文件。

使用 `checkpointctl` 分析检查点归档文件

为了获取有关检查点容器的一些初始信息，我使用工具 checkpointctl，如下所示

$ checkpointctl show checkpoint.tar --print-stats
+-----------+----------------------------------+--------------+---------+---------------------+--------+------------+------------+-------------------+
| CONTAINER |              IMAGE               |      ID      | RUNTIME |       CREATED       | ENGINE |     IP     | CHKPT SIZE | ROOT FS DIFF SIZE |
+-----------+----------------------------------+--------------+---------+---------------------+--------+------------+------------+-------------------+
| counter   | quay.io/adrianreber/counter:blog | 059a219a22e5 | runc    | 2023-03-02T06:06:49 | CRI-O  | 10.88.0.23 | 8.6 MiB    | 3.0 KiB           |
+-----------+----------------------------------+--------------+---------+---------------------+--------+------------+------------+-------------------+
CRIU dump statistics
+---------------+-------------+--------------+---------------+---------------+---------------+
| FREEZING TIME | FROZEN TIME | MEMDUMP TIME | MEMWRITE TIME | PAGES SCANNED | PAGES WRITTEN |
+---------------+-------------+--------------+---------------+---------------+---------------+
| 100809 us     | 119627 us   | 11602 us     | 7379 us       |          7800 |          2198 |
+---------------+-------------+--------------+---------------+---------------+---------------+

这已经为我提供了有关检查点归档文件中检查点的一些信息。我可以看到容器的名称、有关容器运行时和容器引擎的信息。它还列出了检查点的大小（CHKPT SIZE）。这主要是检查点中包含的内存页面的大小，但也有关于容器中所有更改文件大小的信息（ROOT FS DIFF SIZE）。

附加参数 --print-stats 解码检查点归档文件中的信息并将其显示在第二个表（CRIU 转储统计信息）中。此信息在检查点创建期间收集，并概述了 CRIU 在检查容器中的进程时需要多少时间，以及在检查点创建期间分析和写入了多少内存页面。

深入挖掘

借助 checkpointctl，我能够获取有关检查点归档文件的一些高级信息。为了进一步分析检查点归档文件，我必须将其提取。检查点归档文件是一个 tar 归档文件，可以使用 tar xf checkpoint.tar 进行提取。

提取检查点归档文件将生成以下文件和目录

bind.mounts - 此文件包含有关绑定挂载的信息，在恢复期间需要将所有外部文件和目录挂载到正确的位置
checkpoint/ - 此目录包含 CRIU 创建的实际检查点
config.dump 和 spec.dump - 这些文件包含在恢复期间所需的容器元数据
dump.log - 此文件包含 CRIU 在检查点创建期间生成的调试输出
stats-dump - 此文件包含 checkpointctl 用于显示转储统计信息（--print-stats）的数据
rootfs-diff.tar - 此文件包含容器文件系统中所有更改的文件

文件系统更改 - `rootfs-diff.tar`

进一步分析容器检查点的第一步是查看容器中已更改的文件。这可以通过查看文件 rootfs-diff.tar 来完成

$ tar xvf rootfs-diff.tar
home/counter/logfile
home/counter/test-file

现在可以研究容器中更改的文件

$ cat home/counter/logfile
10.88.0.1 - - [02/Mar/2023 06:07:29] "GET /create?test-file HTTP/1.1" 200 -
10.88.0.1 - - [02/Mar/2023 06:07:40] "GET /secret?RANDOM_1432_KEY HTTP/1.1" 200 -
10.88.0.1 - - [02/Mar/2023 06:07:43] "GET / HTTP/1.1" 200 -
$ cat home/counter/test-file
test-file

与此容器所基于的容器镜像（quay.io/adrianreber/counter:blog）相比，我可以看到文件 logfile 包含有关容器提供的服务的所有访问信息，并且文件 test-file 正如预期地创建。

借助 rootfs-diff.tar，可以检查与容器基础镜像相比创建或更改的所有文件。

分析检查点进程 - `checkpoint/`

目录 checkpoint/ 包含 CRIU 在检查容器中的进程时创建的数据。目录 checkpoint/ 中的内容由不同的镜像文件组成，可以使用作为 CRIU 一部分分发的工具 CRIT 进行分析。

首先，让我们了解一下容器内的进程

$ crit show checkpoint/pstree.img | jq .entries[].pid
1
7
8

此输出表示我的容器 PID 命名空间中有三个进程，其 PID 分别为：1、7、8。

这仅仅是从容器 PID 命名空间内部的角度来看。在恢复期间，这些 PID 将完全重新创建。从容器 PID 命名空间外部来看，恢复后 PID 将发生变化。

下一步是获取有关这三个进程的一些附加信息

$ crit show checkpoint/core-1.img | jq .entries[0].tc.comm
"bash"
$ crit show checkpoint/core-7.img | jq .entries[0].tc.comm
"counter.py"
$ crit show checkpoint/core-8.img | jq .entries[0].tc.comm
"tee"

这意味着我的容器中的三个进程是 bash、counter.py（一个 Python 解释器）和 tee。有关这些进程的父子关系的详细信息，需要分析 checkpoint/pstree.img 中的更多数据。

让我们将目前收集到的信息与仍在运行的容器进行比较

$ crictl inspect --output go-template --template "{{(index .info.pid)}}" 059a219a22e56
722520
$ ps auxf | grep -A 2 722520
fedora    722520  \_ bash -c /home/counter/counter.py 2>&1 | tee /home/counter/logfile
fedora    722541      \_ /usr/bin/python3 /home/counter/counter.py
fedora    722542      \_ /usr/bin/coreutils --coreutils-prog-shebang=tee /usr/bin/tee /home/counter/logfile
$ cat /proc/722520/comm
bash
$ cat /proc/722541/comm
counter.py
$ cat /proc/722542/comm
tee

在此输出中，我首先检索容器中第一个进程的 PID，然后我在容器运行的系统上查找该 PID 和子进程。我看到了三个进程，第一个是“bash”，它是容器 PID 命名空间中的 PID 1。然后我查看 /proc/<PID>/comm，我可以找到与检查点镜像中完全相同的值。

重要的是要记住，检查点将包含容器 PID 命名空间内部的视图，因为该信息对于恢复进程很重要。

crit 能够告诉我们关于容器的最后一个例子是 UTS 命名空间的信息

$ crit show checkpoint/utsns-12.img
{
    "magic": "UTSNS",
    "entries": [
        {
            "nodename": "counters",
            "domainname": "(none)"
        }
    ]
}

这告诉我 UTS 命名空间中的主机名是 counters。

对于 CRIU 在检查点期间收集的每个资源，checkpoint/ 目录都包含相应的镜像文件，可以使用 crit 进行分析。

查看内存页

除了可以借助 CRIT 解码的 CRIU 信息外，还有包含 CRIU 写入磁盘的原始内存页的文件

$ ls  checkpoint/pages-*
checkpoint/pages-1.img  checkpoint/pages-2.img  checkpoint/pages-3.img

当我最初使用容器时，我将一个随机密钥（RANDOM_1432_KEY）存储在内存中的某个位置。让我们看看我是否能找到它

$ grep -ao RANDOM_1432_KEY checkpoint/pages-*
checkpoint/pages-2.img:RANDOM_1432_KEY

果然，我的数据就在那里。通过这种方式，我可以轻松地查看容器中进程的所有内存页面的内容，但同样重要的是要记住，任何可以访问检查点归档文件的人都可以访问容器进程内存中存储的所有信息。

使用 gdb 进行进一步分析

查看检查点镜像的另一种可能性是 gdb。CRIU 仓库包含脚本 coredump，它可以将检查点转换为核心转储文件

$ /home/criu/coredump/coredump-python3
$ ls -al core*
core.1  core.7  core.8

运行 coredump-python3 脚本会将检查点镜像转换为容器中每个进程的一个核心转储文件。使用 gdb 我还可以查看进程的详细信息

$ echo info registers | gdb --core checkpoint/core.1 -q

[New LWP 1]

Core was generated by `bash -c /home/counter/counter.py 2>&1 | tee /home/counter/logfile'.

#0  0x00007fefba110198 in ?? ()
(gdb)
rax            0x3d                61
rbx            0x8                 8
rcx            0x7fefba11019a      140667595587994
rdx            0x0                 0
rsi            0x7fffed9c1110      140737179816208
rdi            0xffffffff          4294967295
rbp            0x1                 0x1
rsp            0x7fffed9c10e8      0x7fffed9c10e8
r8             0x1                 1
r9             0x0                 0
r10            0x0                 0
r11            0x246               582
r12            0x0                 0
r13            0x7fffed9c1170      140737179816304
r14            0x0                 0
r15            0x0                 0
rip            0x7fefba110198      0x7fefba110198
eflags         0x246               [ PF ZF IF ]
cs             0x33                51
ss             0x2b                43
ds             0x0                 0
es             0x0                 0
fs             0x0                 0
gs             0x0                 0

在此示例中，我可以看到检查点期间所有寄存器的值，我还可以看到容器 PID 1 进程的完整命令行：bash -c /home/counter/counter.py 2>&1 | tee /home/counter/logfile

总结

借助容器检查点，可以在不停止容器且容器不知情的情况下创建正在运行的容器的检查点。在 Kubernetes 中检查容器的结果是检查点归档文件；使用 checkpointctl、tar、crit 和 gdb 等不同工具可以分析检查点。即使使用 grep 等简单工具，也可以在检查点归档文件中找到信息。

我在本文中展示的如何分析检查点的不同示例只是一个起点。根据您的要求，可以更详细地查看某些内容，但本文旨在为您介绍如何开始分析检查点。

我如何参与？

你可以通过多种方式联系 SIG Node