[devel] kernel.userns_restrict
Anton V. Boyarshinov
boyarsh на altlinux.org
Пт Ноя 26 14:28:24 MSK 2021
В Fri, 26 Nov 2021 14:23:35 +0300
Sergey V Turchin <zerg на altlinux.org> пишет:
> > > # sysctl kernel.unprivileged_userns_clone
> > > sysctl: cannot stat /proc/sys/kernel/unprivileged_userns_clone: Нет такого
> > > файла или каталога
> > >
> > > # uname -r
> > > 5.10.80-std-def-alt1
> > > недостаточно новое?
> >
> > У нас используется не такая реализация этого ограничения, как в Debian.
> > Имя параметра и смысл его значений другие. У нас как в Ubuntu.
> А где смысл значения "включено" лучше?
unprivileged_userns_clone запрещены unpriv userns если 0
userns_restrict запрещены unpriv userns если 1
По поводу того какой патч и интерфейс лучше есть разные мнения, равно
как и по поводу того, какое положение правильное и нужно ли вообще
такое ограничение.
Глеб сделал "гибридный" патч, поддерживающий оба интерфейса, но смысл в
нём сомнителен, к тому же если один sysctl будет заодно переключать
другой, причём в другую сторону -- путаницы, боюсь, станет только
больше..
Подробная информация о списке рассылки Devel