[devel] kernel.userns_restrict
Vladimir D. Seleznev
vseleznv на altlinux.org
Ср Ноя 24 19:18:12 MSK 2021
On Wed, Nov 24, 2021 at 07:08:41PM +0300, Vladimir Didenko wrote:
> ср, 24 нояб. 2021 г. в 19:03, Vladimir D. Seleznev:
> >
> >
> > Там же написано: make sure that ... chrome-sandbox is owned by root and
> > has mode 4755. В Сизифе тот же chromium упакован так, что на
> > chrome-sandbox установлен suid-бит.
>
> Я suid бит на Mattermost в здравом уме ставить не буду.
Дозволенный userns для непревилегированных пользователей — всё равно,
что suid на каждый executable в системе. Я, конечно, немного утрирую и
предвзят, но практика показывает, что userns — это не подходящий
механизм безопасности.
> > Я за secure by default.
>
> Это спорно, что сделанное изменение сделает пользователю более
> безопасно. Тот же Brave без user namespaces просто выключает sandbox -
> где тут безопасность? Если верить
>
> https://lists.debian.org/debian-kernel/2020/03/msg00237.html
>
> то Firefox в этом случае тоже тихо выключит sandbox. Это тоже
> безопаснее для пользователя?
Так и же без suid-бита brave просто молча выключает sandbox. Если
выставить suid-бит, то будет сендбокситься.
--
WBR,
Vladimir D. Seleznev
Подробная информация о списке рассылки Devel