Vi.'s questions

Como habilitar CLONE_NEWUSERde maneira mais refinada em comparação com apenas kernel.unprivileged_userns_clone?

Eu quero manter a superfície de ataque da API do kernel gerenciável, mantendo coisas novas e complicadas como não raiz CAP_SYS_ADMINou BPF desabilitadas, mas também permitir isso seletivamente para alguns programas específicos.

Por exemplo, chrome-sandboxquer CLOSE_NEWUSERou suid-root para operação adequada, mas não quero que todos os programas possam usar truques tão complicados, apenas um punhado de aprovados.

Qual comando (disponível em repositórios de distribuição) devo usar para iniciar um shell com uid, gid e grupos numéricos especificados? Normalmente sué usado para mudar de root para outro usuário, mas tenta procurar grupos por nomes, que podem não existir quando sistemas de arquivos externos, namespaces e contêineres do Docker estão em uso.

Espero que seja um aplicativo simples que apenas faça setgroups(2), e setgid(2), sem qualquer ou nsswitch. É fácil implementar esse programa em C, mas talvez algo padrão e disponível para distribuição seja usado para este caso de uso?setuid(2)execve(2)/etc/passwd

É ${XDG_CONFIG_HOME:-${HOME}/.config}o suficiente ou há mais truques para isso?

Existe talvez alguma xdg-user-dir CONFIGinvocação xdg-settingsque me dê onde esperar as configurações dos programas?

Como habilito e desabilito de forma flexível a conexão de novos dispositivos USB (executando o código do driver responsável por esses dispositivos) em tempo de execução sem o patch Grsecurity?

Existem outras abordagens ou patches de kernel alternativos com esse recurso?

Reabrir: Diferenças e comentários sobre a pergunta duplicada proposta Como inserir um dispositivo/pendrive USB com segurança em um computador Linux?

• A pergunta vinculada pergunta sobre sempre aceitar seletivamente alguns dispositivos, esta pergunta pergunta sobre aceitar todos os dispositivos em momentos selecionados de tempo (e negar qualquer coisa em outros momentos).
• A resposta primária (USBGuard) é uma solução userland. Parece apenas impedir ações do udev. É improvável que evite a varredura de um dispositivo de bloco para partições, criando interface de rede e consultando seus metadados ou registrando algum /dev/input/eventXnó. A superfície de ataque no kernel parece estar exposta.
• Outra resposta está parcialmente vinculada a Grsecurity, que é explicitamente descartada pela declaração desta pergunta.

Tanto quanto me lembro, havia planos para fazer com que os sistemas Linux de desktop com tela bloqueada não aceitassem nenhum dispositivo USB até que a tela fosse desbloqueada. Isso significa que pode haver alguns patches sobre isso em algum lugar.