[devel] kernel.userns_restrict

[Dmitry V. Levin]

On Thu, Nov 18, 2021 at 03:40:34PM +0300, Anton Farygin wrote:
> On 18.11.2021 15:34, Dmitry V. Levin wrote:
> > On Thu, Nov 18, 2021 at 03:21:39PM +0300, Anton Farygin wrote:
> >> On 18.11.2021 15:18, Dmitry V. Levin wrote:
> >>>> Делайте что хотите, но в результате bubblewrap должен остаться рабочим в
> >>>> установленной системе.
> >>> Я считаю безопасность ОС важнее, чем работоспособность bubblewrap.
> >>> Если компромисса не найдётся, я без колебаний пожертвую bubblewrap'ом.
> >> если компромисса не найдётся я без колебаний перейду на другой дистрибутив.
> >>
> >> Потому что без bubblerwap у нас будет сломан целый слой, его использующий.
> >>
> >> Лично мне важен работоспособный flatpack и opam.
> > Ну и включай себе общедоступный userns, это твоё личное дело.  Я не
> > понимаю, каким образом у тебя вышло, что твоё желание использовать
> > какие-то фичи должно приводить к тому, что все остальные должны включать
> > себе целый класс уязвимостей.
> 
> См. выше - мне важно чтобы у меня после обновления ничего не сломалось.
> 
> Те, кто хочет жить в изолированном виде без целого класса уязвимостей - 
> не будут ставить себе потенциально уязвимый bubblewrap.

Так проблема именно в том, что bubblewrap вытягивается по зависимостям почти
у всех, хотя используется далеко не всеми.

> Ну и на самом деле я написал в другом письме, что bubblewrap вроде как 
> умеет работать без userns, но было бы неплохо, если бы его ментейнер (и 
> автор этого самого /lib/sysctl.d/90-bwrap.conf
> ) с этим разобрался - может ли и если да, то какой ценой.

Наверное, что-нибудь перестанет работать.


-- 
ldv