41283 2021-11-03 13:41:54 +0300 kernel.userns_restrict regression 2021-11-11 14:52:07 +0300 1 1 4 Development Sisyphus kernel-image-std-def unstable all Linux CLOSED FIXED P5 blocker --- 1 ldv vt andy kernelbot placeholder vt qa-sisyphus oldest_to_newest 204473 0 ldv 2021-11-03 13:41:54 +0300 kernel.userns_restrict default changed silently from 1 to 0, making the system open to all kinds of userns attacks by unprivileged users. 204476 1 glebfm 2021-11-03 13:47:10 +0300 (In reply to Dmitry V. Levin from comment #0) > kernel.userns_restrict default changed silently from 1 to 0, making the > system open to all kinds of userns attacks by unprivileged users. It changed for std-def kernel during 5.4 -> 5.10 update, for un-def 5.7 -> 5.8. 204595 2 boyarsh 2021-11-09 10:06:09 +0300 Ooops... To be fixed today 204597 3 boyarsh 2021-11-09 10:12:51 +0300 it was a fault using git rebase. I've reprodused it :( 204637 4 repository-robot 2021-11-09 19:02:41 +0300 kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 - CLONE_USERNS default restriction restored (Closes: 41283) - NVME fix for TF307-MB-S-D (Closes: 40718) - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING 204641 5 andy 2021-11-09 22:25:54 +0300 А в un-def не нужно? andy@andy:((kernel-image-un-def-5.14.17-alt1-0-g03720ea10a8a))$ gg sysctl_userns_restrict ... kernel/user_namespace.c:int sysctl_userns_restrict __read_mostly; 204652 6 boyarsh 2021-11-10 11:31:21 +0300 (Ответ для Andrew Vasilyev на комментарий #5) > А в un-def не нужно? > > andy@andy:((kernel-image-un-def-5.14.17-alt1-0-g03720ea10a8a))$ gg > sysctl_userns_restrict > ... > kernel/user_namespace.c:int sysctl_userns_restrict __read_mostly; Конечно, нужно. В git я уже поменял, но хотел дождаться сборки std-def и определённости -- помогла ли эта сборка с проблемами учёта времени (это не связанная проблема, но исправлялась той же сборкой). 204723 7 ldv 2021-11-11 03:04:00 +0300 (In reply to Repository Robot from comment #4) > kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: > > Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 > - CLONE_USERNS default restriction restored (Closes: 41283) > - NVME fix for TF307-MB-S-D (Closes: 40718) > - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING Попытка заменить TICK_CPU_ACCOUNTING на что-нибудь приличное не нашла отражение в /proc/config.gz: -# Linux/x86_64 5.10.76-std-def-alt1 Kernel Configuration +# Linux/x86_64 5.10.78-std-def-alt2 Kernel Configuration Видимо, VIRT_CPU_ACCOUNTING_NATIVE на x86_64 нет, и это делается как-то иначе. 204745 8 boyarsh 2021-11-11 14:52:07 +0300 (Ответ для Dmitry V. Levin на комментарий #7) > (In reply to Repository Robot from comment #4) > > kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: > > > > Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 > > - CLONE_USERNS default restriction restored (Closes: 41283) > > - NVME fix for TF307-MB-S-D (Closes: 40718) > > - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING > > Попытка заменить TICK_CPU_ACCOUNTING на что-нибудь приличное не нашла > отражение в /proc/config.gz: > -# Linux/x86_64 5.10.76-std-def-alt1 Kernel Configuration > +# Linux/x86_64 5.10.78-std-def-alt2 Kernel Configuration > > Видимо, VIRT_CPU_ACCOUNTING_NATIVE на x86_64 нет, и это делается как-то > иначе. Ок, буду копать дальше, но, видимо это не в этой баге...