From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: <vseleznv@altlinux.org> Date: Thu, 18 Nov 2021 12:32:19 +0000 From: "Vladimir D. Seleznev" <vseleznv@altlinux.org> To: ALT Linux Team development discussions <devel@lists.altlinux.org> Message-ID: <YZZH0y1rkSuqAoKz@portlab> References: <20211118143605.742f6370@tower> <20211118114356.GA27587@altlinux.org> <20211118150641.5faa75bd@sem-notebook.localdomain> <20211118121218.GD27587@altlinux.org> <60757ca3-47b1-4f4e-c51b-224f30f38cb4@basealt.ru> <20211118121825.GE27587@altlinux.org> <3ac8fdb5-8839-a17a-4015-03552a70642d@basealt.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <3ac8fdb5-8839-a17a-4015-03552a70642d@basealt.ru> Subject: Re: [devel] kernel.userns_restrict X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org> List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org> List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>, <mailto:devel-request@lists.altlinux.org?subject=unsubscribe> List-Archive: <http://lists.altlinux.org/pipermail/devel> List-Post: <mailto:devel@lists.altlinux.org> List-Help: <mailto:devel-request@lists.altlinux.org?subject=help> List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>, <mailto:devel-request@lists.altlinux.org?subject=subscribe> X-List-Received-Date: Thu, 18 Nov 2021 12:32:20 -0000 Archived-At: <http://lore.altlinux.org/devel/YZZH0y1rkSuqAoKz@portlab/> List-Archive: <http://lore.altlinux.org/devel/> List-Post: <mailto:devel@altlinux.org> On Thu, Nov 18, 2021 at 03:21:39PM +0300, Anton Farygin wrote: > On 18.11.2021 15:18, Dmitry V. Levin wrote: > >> Делайте что хотите, но в результате bubblewrap должен оÑтатьÑÑ Ñ€Ð°Ð±Ð¾Ñ‡Ð¸Ð¼ в > >> уÑтановленной ÑиÑтеме. > > Я Ñчитаю безопаÑноÑÑ‚ÑŒ ОС важнее, чем работоÑпоÑобноÑÑ‚ÑŒ bubblewrap. > > ЕÑли компромиÑÑа не найдётÑÑ, Ñ Ð±ÐµÐ· колебаний пожертвую bubblewrap'ом. > > еÑли компромиÑÑа не найдётÑÑ Ñ Ð±ÐµÐ· колебаний перейду на другой диÑтрибутив. > > Потому что без bubblerwap у Ð½Ð°Ñ Ð±ÑƒÐ´ÐµÑ‚ Ñломан целый Ñлой, его иÑпользующий. > > Лично мне важен работоÑпоÑобный flatpack и opam. > > > Рчем так плохи userns и за что мы боремÑÑ, можно раÑÑказать ? Тем, что Ñто такой антихарденинг? Ð®Ð·ÐµÑ€Ð½Ñ Ð¿Ñ€ÐµÐ´Ð¾ÑтавлÑет полный набор capabilities непривилегированному пользователю. ЗаÑвлÑетÑÑ, что в нужных меÑтах в Ñдре еÑÑ‚ÑŒ проверки на некорневой userns, но практика неоднократно показывает, что Ñтих меÑÑ‚ ÑтановитÑÑ Ð²ÑÑ‘ больше, Ñ Ð¾Ð´Ð½Ð¾Ð¹ Ñтороны, а Ñ Ð´Ñ€ÑƒÐ³Ð¾Ð¹ Ñтороны в других меÑтах, требующих привилегий, нередко наличиÑтвуют другие огрехи безопаÑноÑти, которых без userns было бы невозможно ÑкÑплуатировать, Ñ‚.к. их ÑкÑÐ¿Ð»ÑƒÐ°Ñ‚Ð°Ñ†Ð¸Ñ Ñ‚Ñ€ÐµÐ±Ð¾Ð²Ð°Ð»Ð¾ Ñвных привилегий. -- WBR, Vladimir D. Seleznev