[devel] kernel.userns_restrict
Dmitry V. Levin
ldv на altlinux.org
Чт Ноя 18 15:44:23 MSK 2021
On Thu, Nov 18, 2021 at 03:40:34PM +0300, Anton Farygin wrote:
> On 18.11.2021 15:34, Dmitry V. Levin wrote:
> > On Thu, Nov 18, 2021 at 03:21:39PM +0300, Anton Farygin wrote:
> >> On 18.11.2021 15:18, Dmitry V. Levin wrote:
> >>>> Делайте что хотите, но в результате bubblewrap должен остаться рабочим в
> >>>> установленной системе.
> >>> Я считаю безопасность ОС важнее, чем работоспособность bubblewrap.
> >>> Если компромисса не найдётся, я без колебаний пожертвую bubblewrap'ом.
> >> если компромисса не найдётся я без колебаний перейду на другой дистрибутив.
> >>
> >> Потому что без bubblerwap у нас будет сломан целый слой, его использующий.
> >>
> >> Лично мне важен работоспособный flatpack и opam.
> > Ну и включай себе общедоступный userns, это твоё личное дело. Я не
> > понимаю, каким образом у тебя вышло, что твоё желание использовать
> > какие-то фичи должно приводить к тому, что все остальные должны включать
> > себе целый класс уязвимостей.
>
> См. выше - мне важно чтобы у меня после обновления ничего не сломалось.
>
> Те, кто хочет жить в изолированном виде без целого класса уязвимостей -
> не будут ставить себе потенциально уязвимый bubblewrap.
Так проблема именно в том, что bubblewrap вытягивается по зависимостям почти
у всех, хотя используется далеко не всеми.
> Ну и на самом деле я написал в другом письме, что bubblewrap вроде как
> умеет работать без userns, но было бы неплохо, если бы его ментейнер (и
> автор этого самого /lib/sysctl.d/90-bwrap.conf
> ) с этим разобрался - может ли и если да, то какой ценой.
Наверное, что-нибудь перестанет работать.
--
ldv
Подробная информация о списке рассылки Devel