[devel] kernel.userns_restrict

[Anton V. Boyarshinov]

В Fri, 26 Nov 2021 14:23:35 +0300
Sergey V Turchin <zerg на altlinux.org> пишет:

> > > # sysctl kernel.unprivileged_userns_clone
> > > sysctl: cannot stat /proc/sys/kernel/unprivileged_userns_clone: Нет такого
> > > файла или каталога
> > > 
> > > # uname -r
> > > 5.10.80-std-def-alt1
> > > недостаточно новое?  
> > 
> > У нас используется не такая реализация этого ограничения, как в Debian.
> > Имя параметра и смысл его значений другие. У нас как в Ubuntu.  
> А где смысл значения "включено" лучше?

unprivileged_userns_clone запрещены unpriv userns если 0
userns_restrict запрещены unpriv userns если 1

По поводу того какой патч и интерфейс лучше есть разные мнения, равно
как и по поводу того, какое положение правильное и нужно ли вообще
такое ограничение.

Глеб сделал "гибридный" патч, поддерживающий оба интерфейса, но смысл в
нём сомнителен, к тому же если один sysctl будет заодно переключать
другой, причём в другую сторону -- путаницы, боюсь, станет только
больше..