与 just 相比,我如何CLONE_NEWUSER以更细粒度的方式启用kernel.unprivileged_userns_clone?
我想通过禁用非 root 或 BPF 等新的和复杂的东西来保持内核 API 攻击面的可管理性CAP_SYS_ADMIN,但也有选择地允许它用于某些特定程序。
例如,chrome-sandbox想要CLOSE_NEWUSERsuid-root 或 suid-root 中的任何一个以进行正确操作,但我不希望所有程序都能够使用如此复杂的技巧,只有少数经过批准的技巧。
我应该使用哪个命令(在发行版存储库中可用)启动具有指定数字 uid、gid 和组的 shell?通常su用于从 root 更改为其他用户,但它会尝试按名称查找组,这在使用外部文件系统、命名空间和 Docker 容器时可能不存在。
我希望它是一个简单的应用程序,只执行、setgroups(2)和,没有任何或 nsswitch。用 C 语言实现这样的程序很容易,但也许这个用例使用了标准和发行版可用的东西?setgid(2)setuid(2)execve(2)/etc/passwd
${XDG_CONFIG_HOME:-${HOME}/.config}够用还是有更多技巧?
是否有一些xdg-user-dir CONFIG或xdg-settings调用可以让我在哪里期待程序的配置?
如何在没有 Grsecurity 补丁的情况下在运行时灵活启用和禁用插入新的 USB 设备(运行负责这些设备的驱动程序代码)?
是否有其他方法或具有此功能的替代内核补丁?
重新打开:关于提出的重复问题的差异和评论如何安全地将 USB 记忆棒/设备插入 Linux 计算机?
/dev/input/eventX节点。内核中的攻击面似乎暴露了。据我记得,有计划让屏幕锁定的桌面 Linux 系统在屏幕解锁之前不接受任何 USB 设备。这意味着某处可能有一些关于此的补丁。