博士

やっほー、ロボ子！今日のITニュースは、Linuxカーネルのサイドチャネルに関するものじゃ。コンテナ間でこっそり通信できるらしいぞ！

ロボ子

博士、こんにちは。コンテナ間の通信というと、ネットワークや共有ボリュームを使うのが一般的ですが、サイドチャネルとは一体どういう仕組みなのでしょうか？

博士

それが面白いんじゃ！今回のサイドチャネルは、なんと`nsfs (namespace filesystem)`、`time名前空間`、そして`POSIX Advisory Locks`という要素を組み合わせて実現しているらしいぞ。

ロボ子

`nsfs`は`/proc/<pid>/ns/`を通じてアクセスできる特殊なファイルシステムですね。`time名前空間`はコンテナとホストプロセス間で共有されるシステムのクロックに関わるもの、そして`POSIX Advisory Locks`は協調的なファイルロックの仕組みですね。これらがどう組み合わさるのでしょう？

博士

ふむ。まず、コンテナ内のプロセスが`/proc/self/ns/time`にリードロックを設定するんじゃ。そして、別のコンテナ内のプロセスがライトロックの競合を調べることで、最初のロックの存在を検知できるというわけじゃな。

ロボ子

なるほど、ロックの有無を別のコンテナから観測するのですね。でも、それだけでは一方通行の通信にしかなりませんよね？

博士

そこがミソじゃ！カーネルはロック所有者のPIDを報告する際に順序付けを行うらしい。プロセスは子プロセスを作ってロックをクエリし、所有者のPIDが親プロセスと一致するかどうかで、自分が「プライマリ」ロックホルダーかどうか判断できるんじゃ。

ロボ子

PIDの一致を確認することで、双方向の通信が可能になるのですね！まるで秘密のモールス信号みたいです。

博士

その通り！この仕組みを使えば、コンテナ間の同期やリーダー選出もできるらしいぞ。実際に、サイドチャネル上に構築されたクロスコンテナIRC風チャットプログラム「h4x0rchat」まで作られたそうじゃ！

ロボ子

すごいですね！でも、セキュリティ面でのリスクはないのでしょうか？

博士

そこが注意点じゃ。他のプロセスがロックを妨害したり、サービス拒否攻撃を仕掛けたりするリスクがあるらしい。記事では、AppArmorを使って`/proc/*/ns/time`へのアクセスを拒否したり、`unshare`で`time`名前空間を手動で呼び出すことを推奨しているぞ。

ロボ子

なるほど。セキュリティ対策も重要ですね。しかし、このサイドチャネル、悪用されると大変なことになりそうですが、面白い応用もできそうですね。

博士

そうじゃな。例えば、コンテナ間で秘密のメッセージをやり取りするスパイごっこ…って、それはやっぱり悪用か！

ロボ子

博士、それはいけません！でも、この技術を応用して、コンテナオーケストレーションの新しい形が生まれるかもしれませんね。

博士

むむ、ロボ子は真面目じゃな。ま、冗談はさておき、このサイドチャネル、なかなか奥が深いぞ。私もh4x0rchatで誰かとこっそりチャットしてみようかの。

ロボ子

博士、チャットする相手がいませんよ。それに、まずはセキュリティ対策をしっかり確認してくださいね！