[devel] kernel.userns_restrict

Aleksey Novodvorsky aen на basealt.ru
Ср Ноя 24 22:59:04 MSK 2021 

ср, 24 нояб. 2021 г. в 19:03, Vladimir D. Seleznev <vseleznv на altlinux.org>:
>
> On Wed, Nov 24, 2021 at 06:52:33PM +0300, Vladimir Didenko wrote:
> > чт, 18 нояб. 2021 г. в 14:36, Anton V. Boyarshinov:
> > >
> > > Добрый день
> > >
> > > Некоторое время назад я сделал ошибку при git rebase и потерял значение
> > > по умолчанию для sysctl kernel.userns_restrict
> > >
> > > Когда мне об этом сообщили, воспринял это как серьёзную проблему в
> > > безопасности и побежал исправлять.
> > >
> > > что с ним связано. Таким образом, нам в любой десктопный дистрибутив с gtk3 нечувствительно  приезжает kernel.userns_restrict=0 и я считаю, что это
> > > блокер. Но на что вешать непонятно, ни к пуговицам, ни к рукавам претензий нет, но пиджак в целом никуда не годен.
> >
> > Добрый вечер.
> >
> > Я тут сегодня после обновления обнаружил, что у меня Mattermost не
> > запускается с вводящей в заблуждение ошибкой вроде
> >
> > The SUID sandbox helper binary was found, but is not configured
> > correctly. Rather than run without sandboxing I'm aborting now. You
> > need to make sure that <путь>/chrome-sandbox is owned by root and has
> > mode 4755.
> >
> > Хорошо, что я читаю devel, и понял, что причина это удаление конфига
> > из bubblewrap, но как быть обычному пользователю?
>
> Там же написано: make sure that ... chrome-sandbox is owned by root and
> has mode 4755. В Сизифе тот же chromium упакован так, что на
> chrome-sandbox установлен suid-бит.
>
> > Может, авторы изменений хотя бы страничку на нашей Вики оформят? А
> > еще, мы точно уверены, что дефолт, при котором программы без проблем
> > работающие на Ubuntu/Fedora/Arch у нас просто не запускаются это
> > хороший дефолт?
>
> Я за secure by default.

Я тоже, но умолчания все же определяет релиз-менеджер каждого продукта.
Замечу также, что админы очень часто меняют наши умалчиваемые
настройки  и далеко не в сторону защищенности. Но это их выбор.
Нужен, наверное, также удобный и документированный способ выбора.

Rgrds, Алексей

>
> > И, на всякий, ссылка на багтрекер электрона -
> > https://github.com/electron/electron/issues/17972. Можно посмотреть на
> > количество дупликатов, чтобы понять, что у пользователей отвалится
> > куча приложений.
>
> --
>    WBR,
>    Vladimir D. Seleznev
> _______________________________________________
> Devel mailing list
> Devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

Подробная информация о списке рассылки Devel