[devel] kernel.userns_restrict

[Anton Farygin]

On 18.11.2021 15:44, Dmitry V. Levin wrote:
> On Thu, Nov 18, 2021 at 03:40:34PM +0300, Anton Farygin wrote:
>> On 18.11.2021 15:34, Dmitry V. Levin wrote:
>>> On Thu, Nov 18, 2021 at 03:21:39PM +0300, Anton Farygin wrote:
>>>> On 18.11.2021 15:18, Dmitry V. Levin wrote:
>>>>>> Делайте что хотите, но в результате bubblewrap должен остаться рабочим в
>>>>>> установленной системе.
>>>>> Я считаю безопасность ОС важнее, чем работоспособность bubblewrap.
>>>>> Если компромисса не найдётся, я без колебаний пожертвую bubblewrap'ом.
>>>> если компромисса не найдётся я без колебаний перейду на другой дистрибутив.
>>>>
>>>> Потому что без bubblerwap у нас будет сломан целый слой, его использующий.
>>>>
>>>> Лично мне важен работоспособный flatpack и opam.
>>> Ну и включай себе общедоступный userns, это твоё личное дело.  Я не
>>> понимаю, каким образом у тебя вышло, что твоё желание использовать
>>> какие-то фичи должно приводить к тому, что все остальные должны включать
>>> себе целый класс уязвимостей.
>> См. выше - мне важно чтобы у меня после обновления ничего не сломалось.
>>
>> Те, кто хочет жить в изолированном виде без целого класса уязвимостей -
>> не будут ставить себе потенциально уязвимый bubblewrap.
> Так проблема именно в том, что bubblewrap вытягивается по зависимостям почти
> у всех, хотя используется далеко не всеми.
Так может быть решать именно эту проблему ?
>
>> Ну и на самом деле я написал в другом письме, что bubblewrap вроде как
>> умеет работать без userns, но было бы неплохо, если бы его ментейнер (и
>> автор этого самого /lib/sysctl.d/90-bwrap.conf
>> ) с этим разобрался - может ли и если да, то какой ценой.
> Наверное, что-нибудь перестанет работать.

Было бы неплохо, если бы кто-то разобрался. У меня сейчас на это времени 
совсем нет, к сожалению.