[devel] kernel.userns_restrict

Vladimir D. Seleznev vseleznv на altlinux.org
Ср Ноя 24 19:18:12 MSK 2021


On Wed, Nov 24, 2021 at 07:08:41PM +0300, Vladimir Didenko wrote:
> ср, 24 нояб. 2021 г. в 19:03, Vladimir D. Seleznev:
> >
> >
> > Там же написано: make sure that ... chrome-sandbox is owned by root and
> > has mode 4755. В Сизифе тот же chromium упакован так, что на
> > chrome-sandbox установлен suid-бит.
> 
> Я suid бит на Mattermost в здравом уме ставить не буду.

Дозволенный userns для непревилегированных пользователей — всё равно,
что suid на каждый executable в системе. Я, конечно, немного утрирую и
предвзят, но практика показывает, что userns — это не подходящий
механизм безопасности.

> > Я за secure by default.
> 
> Это спорно, что сделанное изменение сделает пользователю более
> безопасно. Тот же Brave без user namespaces просто выключает sandbox -
> где тут безопасность? Если верить
> 
> https://lists.debian.org/debian-kernel/2020/03/msg00237.html
> 
> то Firefox в этом случае тоже тихо выключит sandbox. Это тоже
> безопаснее для пользователя?

Так и же без suid-бита brave просто молча выключает sandbox. Если
выставить suid-бит, то будет сендбокситься.

-- 
   WBR,
   Vladimir D. Seleznev


Подробная информация о списке рассылки Devel