Início / unix / Perguntas / 726413
Accepted
Vi.
Asked: 2022-11-27 17:40:45 +0800 CST

Como habilito unprivileged_userns_clone seletivamente para um executável ou usuário?

  • 772

Como habilitar CLONE_NEWUSERde maneira mais refinada em comparação com apenas kernel.unprivileged_userns_clone?

Eu quero manter a superfície de ataque da API do kernel gerenciável, mantendo coisas novas e complicadas como não raiz CAP_SYS_ADMINou BPF desabilitadas, mas também permitir isso seletivamente para alguns programas específicos.

Por exemplo, chrome-sandboxquer CLOSE_NEWUSERou suid-root para operação adequada, mas não quero que todos os programas possam usar truques tão complicados, apenas um punhado de aprovados.

linux

1 respostas

  1. Best Answer

    Sem criar um patch de kernel personalizado, isso não é possível. Observe que este sysctl específico do Debian está obsoleto . A maneira de desabilitar namespaces de usuário é user.max_user_namespaces = 0.

    Um novo namespace de usuário é criado por kernel/user_namespace.c:create_user_ns(). Há várias verificações que ocorrem antes de permitir a criação de um novo namespace, mas nada indica a capacidade de controlar isso por arquivo ou por usuário. É lamentável, mas muitos desenvolvedores de kernel não entendem o risco por trás da habilitação de namespaces de usuários não privilegiados em uma base global.

    Um patch de amostra (não testado!) para permitir que apenas o UID 1234 crie um novo namespace no kernel 6.0:

    --- a/kernel/user_namespace.c
+++ b/kernel/user_namespace.c
@@ -86,6 +86,10 @@ int create_user_ns(struct cred *new)
    struct ucounts *ucounts;
    int ret, i;
 
+   ret = -EPERM;
+   if (!uid_eq(current_uid(), KUIDT_INIT(1234)))
+       goto fail;
+
    ret = -ENOSPC;
    if (parent_ns->level > 32)
        goto fail;
    • 1

relate perguntas