From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <56ed52e2-7e17-5797-ece5-6574cc1e4705@basealt.ru> Date: Fri, 26 Nov 2021 14:36:39 +0300 MIME-Version: 1.0 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Thunderbird/91.3.2 Content-Language: ru To: devel@lists.altlinux.org References: <20211118143605.742f6370@tower> <10333160.nUPlyArG6x@zerg.malta.altlinux.ru> <20211126142824.37fc37cc@tower> <2219865.PYKUYFuaPT@zerg.malta.altlinux.ru> From: Anton Farygin Organization: BaseALT In-Reply-To: <2219865.PYKUYFuaPT@zerg.malta.altlinux.ru> Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] kernel.userns_restrict X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 26 Nov 2021 11:36:42 -0000 Archived-At: List-Archive: List-Post: On 26.11.2021 14:35, Sergey V Turchin wrote: > On Friday, 26 November 2021 14:28:24 MSK Anton V wrote: >> В Fri, 26 Nov 2021 14:23:35 +0300 >> >> Sergey V Turchin пишет: >>>>> # sysctl kernel.unprivileged_userns_clone >>>>> sysctl: cannot stat /proc/sys/kernel/unprivileged_userns_clone: Нет >>>>> такого >>>>> файла или каталога >>>>> >>>>> # uname -r >>>>> 5.10.80-std-def-alt1 >>>>> недостаточно новое? >>>> У нас используется не такая реализация этого ограничения, как в Debian. >>>> Имя параметра и смысл его значений другие. У нас как в Ubuntu. >>> А где смысл значения "включено" лучше? >> unprivileged_userns_clone запрещены unpriv userns если 0 >> userns_restrict запрещены unpriv userns если 1 >> >> По поводу того какой патч и интерфейс лучше есть разные мнения, равно >> как и по поводу того, какое положение правильное и нужно ли вообще >> такое ограничение. > Т.е. это абсолютно одно и то же, просто обёртка разная? > Да, смысл одинаковый, но называется и параметры принимает по разной логике.