[devel] kernel.userns_restrict

Vladimir Didenko vladimir.didenko на gmail.com
Ср Ноя 24 19:08:41 MSK 2021


ср, 24 нояб. 2021 г. в 19:03, Vladimir D. Seleznev:
>
>
> Там же написано: make sure that ... chrome-sandbox is owned by root and
> has mode 4755. В Сизифе тот же chromium упакован так, что на
> chrome-sandbox установлен suid-бит.

Я suid бит на Mattermost в здравом уме ставить не буду.

> Я за secure by default.

Это спорно, что сделанное изменение сделает пользователю более
безопасно. Тот же Brave без user namespaces просто выключает sandbox -
где тут безопасность? Если верить

https://lists.debian.org/debian-kernel/2020/03/msg00237.html

то Firefox в этом случае тоже тихо выключит sandbox. Это тоже
безопаснее для пользователя?

-- 
С уважением,
Владимир.


Подробная информация о списке рассылки Devel