[Comm] непривелегированный контейнер lxc - как создать и запустить?

[Mikhail Efremov]

On Sat, 8 Oct 2016 02:19:44 +0300 Mikhail Efremov wrote:
> On Fri, 7 Oct 2016 23:14:34 +0300 Alexander wrote:
> > 26.09.2016 00:13, Mikhail Efremov пишет:  
> > > Подозреваю, что lxc-create хочет suid'ный newuidmap. У нас же все
> > > эти утилиты не suid'ные. Наверно нужно добавить соответствующий
> > > control в пакет. Причем мне помнится, что где-то в этих утилитах
> > > была уязвимость в случае их suid'ности.
> > >    
> > А не помните что там за уязвимости были?
> > Пользовательский контейнер запустил,но хотелось бы понять чем рискую
> > в случае suid-ного newuidmap.  
> 
> https://github.com/shadow-maint/shadow/issues/28
> Я уже не помню детали, было некоторое обсуждение в oss-security.
> В ближайшее время постараюсь все это вспомнить и приложить у нас
> патчи.

Ближайшее время наступило, в Сизифе уже, в p8 - пока test-only таск
#179286.
Теперь для newuidmap/newgidmap есть соответствующие control'ы.

-- 
WBR, Mikhail Efremov