如何有选择地为一个可执行文件或用户启用 unprivileged_userns_clone？

Question

如果不创建自定义内核补丁，这是不可能的。请注意，这个特定于 Debian 的 sysctl已弃用。禁用用户命名空间的方法是user.max_user_namespaces = 0。

创建一个新的用户命名空间kernel/user_namespace.c:create_user_ns()。在允许创建新命名空间之前会进行多项检查，但没有任何迹象表明能够在每个文件或每个用户的基础上进行控制。这很不幸，但是许多内核开发人员不了解风险在全球范围内启用非特权用户命名空间的背后。

仅允许 UID 1234 在内核 6.0 中创建新命名空间的示例（未经测试！）补丁：

--- a/kernel/user_namespace.c
+++ b/kernel/user_namespace.c
@@ -86,6 +86,10 @@ int create_user_ns(struct cred *new)
    struct ucounts *ucounts;
    int ret, i;
 
+   ret = -EPERM;
+   if (!uid_eq(current_uid(), KUIDT_INIT(1234)))
+       goto fail;
+
    ret = -ENOSPC;
    if (parent_ns->level > 32)
        goto fail;

Answer 1

如果不创建自定义内核补丁，这是不可能的。请注意，这个特定于 Debian 的 sysctl已弃用。禁用用户命名空间的方法是user.max_user_namespaces = 0。

创建一个新的用户命名空间kernel/user_namespace.c:create_user_ns()。在允许创建新命名空间之前会进行多项检查，但没有任何迹象表明能够在每个文件或每个用户的基础上进行控制。这很不幸，但是许多内核开发人员不了解风险在全球范围内启用非特权用户命名空间的背后。

仅允许 UID 1234 在内核 6.0 中创建新命名空间的示例（未经测试！）补丁：

--- a/kernel/user_namespace.c
+++ b/kernel/user_namespace.c
@@ -86,6 +86,10 @@ int create_user_ns(struct cred *new)
    struct ucounts *ucounts;
    int ret, i;
 
+   ret = -EPERM;
+   if (!uid_eq(current_uid(), KUIDT_INIT(1234)))
+       goto fail;
+
    ret = -ENOSPC;
    if (parent_ns->level > 32)
        goto fail;

如何有选择地为一个可执行文件或用户启用 unprivileged_userns_clone？

答案1

相关内容