docker 入口函数 hook stop指令

Author： asdqwe876
发布时间：June 25, 2021
1281 views
No comments
1216 words
Categories：汇编逆向技术技巧系统运维

0x11 入口函数

0x10 中提到的自启动脚本只能完成基本的自启动任务
当涉及到海量数据的持久化时需要能hook到docker stop指令
docker stop 会向id为1的进程发送TERM信号,可以使用trap捕获

0x11.1 指定pid为1

Dockerfile 的 ENTRYPOINT 有两种写法,即 exec 和 shell：

# exec form
ENTRYPOINT ["command", "param"]
# shell form
ENTRYPOINT command param

两者的区别在于：

exec 形式的命令会使用 PID 1 的进程
shell 形式的命令会被执行为 /bin/sh -c <command>,不会执行在 PID 1 上,也就不会收到 signal

所以,我们应该选择 exec 模式,让我们的程序成为 PID 1 进程。

# 启动java程序
# ENTRYPOINT ["java", "-jar", "app.jar"]
# 自定义启动脚本
ENTRYPOINT ["./entrypoint.sh"]

0x11.2 trap捕获

entrypoint.sh中利用trap捕获信号

#!/bin/sh
echo 'Do something'

kill_jar() {
  echo 'Received TERM'
  kill "$(ps -ef | grep java | grep app | awk '{print $1}')"
  wait $! #等待kill执行完成
  echo 'Process finished'
}

trap 'kill_jar' TERM INT

java -jar app.jar &

# 等待java退出
wait $!

代码解析:

kill :

第一个是 kill 命令并不会等待进程结束,它只负责向进程发送 SIG 信号
至于程序如何处理、什么时候处理,则与它无瓜

wait:

trap 会导致 wait 命令结束,以执行 trap 中的方法
因此kill_jar中需要搭配一个新的wait

重点

不处理 stop信号的话docker会产生大量僵尸进程
僵尸进程会占用宿主机的资源
僵尸进程达到一定数量后宿主机会假死(等待进程释放)
这不是bug,是docker预留的接口以及特性

Last modification：June 25, 2021

© Reprint prohibited

如果觉得我的文章对你有用，请随意赞赏

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Comment *

Private comment

Name *

🎲

Email *

Site

Lixiney
感谢大佬
新一代民工
nb
ran1756
需要回复才可使用吗
躲闪的匿名人士
感谢大佬
胡斐
感谢大佬

zlib 自定义数据封装
浏览次数: 1972
VMP 核心原理
浏览次数: 4838
wine手册
浏览次数: 2221
清理僵尸进程 zombie processes defunct
浏览次数: 1325
3_段
浏览次数: 1974

docker 入口函数 hook stop指令

asdqwe876 • 2021 年 06 月 25 日

<h1>0x11 入口函数</h1><ul><li>0x10 中提到的自启动脚本只能完成基本的自启动任务</li><li>当涉及到海量数据的持久化时需要能hook到<code>docker stop</code>指令</li><li><code>docker stop</code> 会向id为1的进程发送<code>TERM</code>信号,可以使用<code>trap</code>捕获</li></ul><h2>0x11.1 指定pid为1</h2><p><code>Dockerfile</code> 的 <code>ENTRYPOINT</code> 有两种写法,即 <code>exec</code> 和 <code>shell</code>：</p><pre><code># exec form
ENTRYPOINT [&quot;command&quot;, &quot;param&quot;]
# shell form
ENTRYPOINT command param</code></pre><p>两者的区别在于：</p><ul><li><code>exec</code> 形式的命令会使用 PID 1 的进程</li><li><code>shell</code> 形式的命令会被执行为 <code>/bin/sh -c &lt;command&gt;</code>,不会执行在 PID 1 上,也就不会收到 <code>signal</code></li></ul><p>所以,我们应该选择 <code>exec</code> 模式,让我们的程序成为 PID 1 进程。</p><pre><code># 启动java程序
# ENTRYPOINT [&quot;java&quot;, &quot;-jar&quot;, &quot;app.jar&quot;]
# 自定义启动脚本
ENTRYPOINT [&quot;./entrypoint.sh&quot;]</code></pre><h2>0x11.2 trap捕获</h2><p><code>entrypoint.sh</code>中利用<code>trap</code>捕获信号</p><pre><code>#!/bin/sh
echo 'Do something'

kill_jar() {
  echo 'Received TERM'
  kill &quot;$(ps -ef | grep java | grep app | awk '{print $1}')&quot;
  wait $! #等待kill执行完成
  echo 'Process finished'
}

trap 'kill_jar' TERM INT

java -jar app.jar &amp;

# 等待java退出
wait $!</code></pre><p>代码解析:</p><p><code>kill</code> :</p><ol><li>第一个是 <code>kill</code> 命令并不会等待进程结束,它只负责向进程发送 <code>SIG</code> 信号</li><li>至于程序如何处理、什么时候处理,则与它无瓜</li></ol><p><code>wait</code>:</p><ul><li><code>trap</code> 会导致 <code>wait</code> 命令结束,以执行 <code>trap</code> 中的方法</li><li>因此<code>kill_jar</code>中需要搭配一个新的<code>wait</code></li></ul><h1>重点</h1><ol><li>不处理 <code>stop</code>信号的话docker会产生大量僵尸进程</li><li>僵尸进程会占用宿主机的资源</li><li>僵尸进程达到一定数量后宿主机会假死(等待进程释放)</li><li>这不是bug,是docker预留的接口以及特性</li></ol>