From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gremlin@basealt.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00,
 HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=unavailable
 autolearn_force=no version=3.4.1
Date: Wed, 1 Feb 2023 00:31:34 +0300
From: "Alexey V. Vissarionov" <gremlin@altlinux.org>
To: ALT Linux kernel packages development <devel-kernel@lists.altlinux.org>
Message-ID: <20230131213134.GB446@altlinux.org>
References: <20230126195017.1654866-1-vt@altlinux.org>
 <Y9eNSDJigtdSdPXU@asheplyakov-rocket>
 <20230130200922.u2rk7yquxnglltb7@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20230130200922.u2rk7yquxnglltb7@altlinux.org>
Subject: Re: [d-kernel] [RFC] ALT: io_uring,
 sysctl: Add 'kernel.unprivileged_io_uring_disabled' sysctl
X-BeenThere: devel-kernel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux kernel packages development
 <devel-kernel@lists.altlinux.org>
List-Id: ALT Linux kernel packages development
 <devel-kernel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel-kernel>,
 <mailto:devel-kernel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel-kernel>
List-Post: <mailto:devel-kernel@lists.altlinux.org>
List-Help: <mailto:devel-kernel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel-kernel>,
 <mailto:devel-kernel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 31 Jan 2023 21:31:37 -0000
Archived-At: <http://lore.altlinux.org/devel-kernel/20230131213134.GB446@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel-kernel/>
List-Post: <mailto:devel-kernel@altlinux.org>

On 2023-01-30 23:09:22 +0300, Vitaly Chikunov wrote:

 >>> `kernel.unprivileged_io_uring_disabled=1' is set to
 >>> disable io_uring functionality for non-roots (default).
 >> Set to 0 to allow io_uring.
 >> Это уже откровенное вредительство. Вы ещё epoll отключите,
 >> или unlink.
 > Не закрытие проблем безопасности может быть интерпретировано
 > как вредительство даже в большей степени.

Нарушение доступности само по себе является инцидентом ИБ.
И в данном случае оно создает больший риск (более вероятно
при, будем считать, том же ущербе), нежели менее вероятное
(хотя да, теоретически возможное) нарушение секретности или
целостности при включенном IO_URING.

На всякий случай: IO_URING используется для BLK_DEV_UBLK
(и, кстати, больше пока ни для чего).

 > В RHEL/Centos io_uring отключен на уровне конфигурации
 > ядра[1].

А в апстриме секция "config IO_URING" в файле init/Kconfig
содержит "default y", и кому верить? :-)

 > У нас же предлагается дать возможность администратору
 > системы решать.

"Решать" - это kernel.unprivileged_io_uring_disabled (на кой
хрен оно нужно, мне неочевидно, ибо security/selinux/hooks.c
предусматривает selinux_uring_override_creds(), ну да пусть
будет: еще один параметр настройки пока никому не вредил).

А изменение значения по умолчанию - уже "решать за него".


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net