From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 24 Nov 2021 16:18:12 +0000 From: "Vladimir D. Seleznev" To: ALT Linux Team development discussions Message-ID: References: <20211118143605.742f6370@tower> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Subject: Re: [devel] kernel.userns_restrict X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 24 Nov 2021 16:18:13 -0000 Archived-At: List-Archive: List-Post: On Wed, Nov 24, 2021 at 07:08:41PM +0300, Vladimir Didenko wrote: > ср, 24 нояб. 2021 г. в 19:03, Vladimir D. Seleznev: > > > > > > Там же написано: make sure that ... chrome-sandbox is owned by root and > > has mode 4755. В Сизифе тот же chromium упакован так, что на > > chrome-sandbox установлен suid-бит. > > Я suid бит на Mattermost в здравом уме ставить не буду. Дозволенный userns для непревилегированных пользователей — всё равно, что suid на каждый executable в системе. Я, конечно, немного утрирую и предвзят, но практика показывает, что userns — это не подходящий механизм безопасности. > > Я за secure by default. > > Это спорно, что сделанное изменение сделает пользователю более > безопасно. Тот же Brave без user namespaces просто выключает sandbox - > где тут безопасность? Если верить > > https://lists.debian.org/debian-kernel/2020/03/msg00237.html > > то Firefox в этом случае тоже тихо выключит sandbox. Это тоже > безопаснее для пользователя? Так и же без suid-бита brave просто молча выключает sandbox. Если выставить suid-бит, то будет сендбокситься. -- WBR, Vladimir D. Seleznev