Ubuntu ограничит доступ к user namespace
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Canonical объявила о внесении в Ubuntu 23.10 изменений, ограничивающих доступ пользователей к пространствам имён идентификаторов пользователя (user namespace), что позволит повысить защищённость систем, использующих контейнерную изоляцию, от уязвимостей, для эксплуатации которых необходимы манипуляции с user namespace. По данным Google, 44% эксплоитов, участвующих в программе по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux, требуют наличия возможности создания пространств имён идентификаторов пользователя.
Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, выборочно оставляющая некоторым программам возможность создавать user namespace при наличии профиля AppArmor с правилом "allow userns create" или прав CAP_SYS_ADMIN. Например, для Chrome создан профиль /etc/apparmor.d/opt.google.chrome.chrome, который можно использовать в качестве примера для открытия доступа к user namespace для других программ.
В грядущем выпуске Ubuntu 23.10 ограничение доступа к user namespace планируют предложить в качестве опции, не включённой по умолчанию. В течение нескольких недель после релиза Ubuntu 23.10 разработчики соберут сведения о возможном негативном влиянии отключения доступа к user namespace на работу пакетов и подготовят соответствующие профили AppArmor.
Затем в одном из корректирующих обновлений пакета с ядром (Stable Release Updates) ограничение будет активировано по умолчанию.
Для досрочного включения ограничения можно использовать команды:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1
А для отключения:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://canonical.com//blog/ub...)
- OpenNews: Применение в Ubuntu своих патчей к OverlayFS привело к появлению уязвимостей
- OpenNews: Локальная уязвимость в сетевой подсистеме ядра Linux
- OpenNews: Уязвимости в ядре Linux, затрагивающие nftables и модуль tcindex
- OpenNews: Уязвимости в Netfilter и io_uring, позволяющие повысить свои привилегии в системе
- OpenNews: Уязвимость в OverlayFS, позволяющая повысить свои привилегии
Похожие новости:
- В инсталляторе Ubuntu 23.10 будет возвращена поддержка ZFS
- В Ubuntu появится поддержка полнодискового шифрования, использующего TPM
- Опубликованы ближайшие планы развития Ubuntu Desktop
- Для Debian и Ubuntu создан репозиторий со свежими версиями ядра Linux
- Прогресс в продвижении нового менеджера приложений Ubuntu Store
- Выпуск Ubuntu 22.04.3 LTS c обновлением графического стека и ядра Linux
- Применение в Ubuntu своих патчей к OverlayFS привело к появлению уязвимостей
- Доступна Real-time редакция Ubuntu, оптимизированная для процессоров Intel Core
- unsnap - инструментарий для миграции Ubuntu со Snap на Flatpak
- Canonical готовит вариант Ubuntu Desktop, содержащий только пакеты Snap
Теги для поиска: #_ubuntu, #_user, #_namesapace, #_apparmor
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 15:14
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Компания Canonical объявила о внесении в Ubuntu 23.10 изменений, ограничивающих доступ пользователей к пространствам имён идентификаторов пользователя (user namespace), что позволит повысить защищённость систем, использующих контейнерную изоляцию, от уязвимостей, для эксплуатации которых необходимы манипуляции с user namespace. По данным Google, 44% эксплоитов, участвующих в программе по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux, требуют наличия возможности создания пространств имён идентификаторов пользователя. Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, выборочно оставляющая некоторым программам возможность создавать user namespace при наличии профиля AppArmor с правилом "allow userns create" или прав CAP_SYS_ADMIN. Например, для Chrome создан профиль /etc/apparmor.d/opt.google.chrome.chrome, который можно использовать в качестве примера для открытия доступа к user namespace для других программ. В грядущем выпуске Ubuntu 23.10 ограничение доступа к user namespace планируют предложить в качестве опции, не включённой по умолчанию. В течение нескольких недель после релиза Ubuntu 23.10 разработчики соберут сведения о возможном негативном влиянии отключения доступа к user namespace на работу пакетов и подготовят соответствующие профили AppArmor. Затем в одном из корректирующих обновлений пакета с ядром (Stable Release Updates) ограничение будет активировано по умолчанию. Для досрочного включения ограничения можно использовать команды: sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1 sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0 =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 15:14
Часовой пояс: UTC + 5