From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vseleznv@altlinux.org>
Date: Wed, 24 Nov 2021 16:03:18 +0000
From: "Vladimir D. Seleznev" <vseleznv@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <YZ5iRg6br1NF8v57@portlab>
References: <20211118143605.742f6370@tower>
 <CAHRK1yPf-OABM4SyxdDwEgZdpTEMEM52TJ_MbpOm=Ua29S=iXg@mail.gmail.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <CAHRK1yPf-OABM4SyxdDwEgZdpTEMEM52TJ_MbpOm=Ua29S=iXg@mail.gmail.com>
Subject: Re: [devel] kernel.userns_restrict
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 24 Nov 2021 16:03:19 -0000
Archived-At: <http://lore.altlinux.org/devel/YZ5iRg6br1NF8v57@portlab/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Wed, Nov 24, 2021 at 06:52:33PM +0300, Vladimir Didenko wrote:
> чт, 18 нояб. 2021 г. в 14:36, Anton V. Boyarshinov:
> >
> > Добрый день
> >
> > Некоторое время назад я сделал ошибку при git rebase и потерял значение
> > по умолчанию для sysctl kernel.userns_restrict
> >
> > Когда мне об этом сообщили, воспринял это как серьёзную проблему в
> > безопасности и побежал исправлять.
> >
> > что с ним связано. Таким образом, нам в любой десктопный дистрибутив с gtk3 нечувствительно  приезжает kernel.userns_restrict=0 и я считаю, что это
> > блокер. Но на что вешать непонятно, ни к пуговицам, ни к рукавам претензий нет, но пиджак в целом никуда не годен.
> 
> Добрый вечер.
> 
> Я тут сегодня после обновления обнаружил, что у меня Mattermost не
> запускается с вводящей в заблуждение ошибкой вроде
> 
> The SUID sandbox helper binary was found, but is not configured
> correctly. Rather than run without sandboxing I'm aborting now. You
> need to make sure that <путь>/chrome-sandbox is owned by root and has
> mode 4755.
> 
> Хорошо, что я читаю devel, и понял, что причина это удаление конфига
> из bubblewrap, но как быть обычному пользователю?

Там же написано: make sure that ... chrome-sandbox is owned by root and
has mode 4755. В Сизифе тот же chromium упакован так, что на
chrome-sandbox установлен suid-бит.

> Может, авторы изменений хотя бы страничку на нашей Вики оформят? А
> еще, мы точно уверены, что дефолт, при котором программы без проблем
> работающие на Ubuntu/Fedora/Arch у нас просто не запускаются это
> хороший дефолт?

Я за secure by default.

> И, на всякий, ссылка на багтрекер электрона -
> https://github.com/electron/electron/issues/17972. Можно посмотреть на
> количество дупликатов, чтобы понять, что у пользователей отвалится
> куча приложений.

-- 
   WBR,
   Vladimir D. Seleznev