[devel] kernel.userns_restrict

[mikhailnov на altlinux.org]

18.11.2021 15:47, Anton Farygin пишет:
> On 18.11.2021 15:44, Dmitry V. Levin wrote:
>> On Thu, Nov 18, 2021 at 03:40:34PM +0300, Anton Farygin wrote:
>>> On 18.11.2021 15:34, Dmitry V. Levin wrote:
>>>> On Thu, Nov 18, 2021 at 03:21:39PM +0300, Anton Farygin wrote:
>>>>> On 18.11.2021 15:18, Dmitry V. Levin wrote:
>>>>>>> Делайте что хотите, но в результате bubblewrap должен остаться рабочим в
>>>>>>> установленной системе.
>>>>>> Я считаю безопасность ОС важнее, чем работоспособность bubblewrap.
>>>>>> Если компромисса не найдётся, я без колебаний пожертвую bubblewrap'ом.
>>>>> если компромисса не найдётся я без колебаний перейду на другой дистрибутив.
>>>>>
>>>>> Потому что без bubblerwap у нас будет сломан целый слой, его использующий.
>>>>>
>>>>> Лично мне важен работоспособный flatpack и opam.
>>>> Ну и включай себе общедоступный userns, это твоё личное дело.  Я не
>>>> понимаю, каким образом у тебя вышло, что твоё желание использовать
>>>> какие-то фичи должно приводить к тому, что все остальные должны включать
>>>> себе целый класс уязвимостей.
>>> См. выше - мне важно чтобы у меня после обновления ничего не сломалось.
>>>
>>> Те, кто хочет жить в изолированном виде без целого класса уязвимостей -
>>> не будут ставить себе потенциально уязвимый bubblewrap.
>> Так проблема именно в том, что bubblewrap вытягивается по зависимостям почти
>> у всех, хотя используется далеко не всеми.
Насколько помню, библиотеки какого-то из webkit-ов запускают утилиту bwrap.