[devel] kernel.userns_restrict
Arseny Maslennikov
arseny на altlinux.org
Чт Ноя 18 15:41:13 MSK 2021
On Thu, Nov 18, 2021 at 12:32:19PM +0000, Vladimir D. Seleznev wrote:
> On Thu, Nov 18, 2021 at 03:21:39PM +0300, Anton Farygin wrote:
> > А чем так плохи userns и за что мы боремся, можно рассказать ?
(Сразу скажу: я не за какую-либо из точек зрения, а за объективное
текущее положение дел, предметный разговор и рождение истины в споре.)
> Тем, что это такой антихарденинг? Юзернс предоставляет полный набор
> capabilities непривилегированному пользователю. Заявляется, что в нужных
> местах в ядре есть проверки на некорневой userns, но практика
> неоднократно показывает, что этих мест становится всё больше, с одной
> стороны, а с другой стороны в других местах, требующих привилегий,
> нередко наличиствуют другие огрехи безопасности, которых без userns было
> бы невозможно эксплуатировать, т.к. их эксплуатация требовало явных
> привилегий.
% MANWIDTH=56 man user_namespaces | head -n 30 | tail -n -20
User namespaces isolate security-related iden‐
tifiers and attributes, in particular, user IDs
and group IDs (see credentials(7)), the root
directory, keys (see keyrings(7)), and capabil‐
ities (see capabilities(7)). A process's user
and group IDs can be different inside and out‐
В первом процитированном предложении лгут, получается?
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 833 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20211118/065ba977/attachment.bin>
Подробная информация о списке рассылки Devel