From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 18 Nov 2021 15:50:06 +0300 From: "Dmitry V. Levin" To: devel@lists.altlinux.org Message-ID: <20211118125006.GB28299@altlinux.org> References: <20211118143605.742f6370@tower> <20211118114356.GA27587@altlinux.org> <20211118150641.5faa75bd@sem-notebook.localdomain> <20211118121218.GD27587@altlinux.org> <60757ca3-47b1-4f4e-c51b-224f30f38cb4@basealt.ru> <20211118121825.GE27587@altlinux.org> <3ac8fdb5-8839-a17a-4015-03552a70642d@basealt.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Subject: Re: [devel] kernel.userns_restrict X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 18 Nov 2021 12:50:07 -0000 Archived-At: List-Archive: List-Post: On Thu, Nov 18, 2021 at 03:41:13PM +0300, Arseny Maslennikov wrote: > On Thu, Nov 18, 2021 at 12:32:19PM +0000, Vladimir D. Seleznev wrote: > > On Thu, Nov 18, 2021 at 03:21:39PM +0300, Anton Farygin wrote: > > > А чем так плохи userns и за что мы боремся, можно рассказать ? > > (Сразу скажу: я не за какую-либо из точек зрения, а за объективное > текущее положение дел, предметный разговор и рождение истины в споре.) > > > Тем, что это такой антихарденинг? Юзернс предоставляет полный набор > > capabilities непривилегированному пользователю. Заявляется, что в нужных > > местах в ядре есть проверки на некорневой userns, но практика > > неоднократно показывает, что этих мест становится всё больше, с одной > > стороны, а с другой стороны в других местах, требующих привилегий, > > нередко наличиствуют другие огрехи безопасности, которых без userns было > > бы невозможно эксплуатировать, т.к. их эксплуатация требовало явных > > привилегий. > > % MANWIDTH=56 man user_namespaces | head -n 30 | tail -n -20 > User namespaces isolate security-related iden‐ > tifiers and attributes, in particular, user IDs > and group IDs (see credentials(7)), the root > directory, keys (see keyrings(7)), and capabil‐ > ities (see capabilities(7)). A process's user > and group IDs can be different inside and out‐ > > В первом процитированном предложении лгут, получается? Скорее wishful thinking: они хотят, чтобы так было, но оно до сих пор не везде так. С момента появление unprivileged userns ядерщики находят и исправляют такие места, но конца этому нет и не предвидится. Посмотри, какая доля kernel exploit techniques завязана на unprivileged userns. -- ldv