kernel.userns_restrict default changed silently from 1 to 0, making the system open to all kinds of userns attacks by unprivileged users.
(In reply to Dmitry V. Levin from comment #0) > kernel.userns_restrict default changed silently from 1 to 0, making the > system open to all kinds of userns attacks by unprivileged users. It changed for std-def kernel during 5.4 -> 5.10 update, for un-def 5.7 -> 5.8.
Ooops... To be fixed today
it was a fault using git rebase. I've reprodused it :(
kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 - CLONE_USERNS default restriction restored (Closes: 41283) - NVME fix for TF307-MB-S-D (Closes: 40718) - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING
А в un-def не нужно? andy@andy:((kernel-image-un-def-5.14.17-alt1-0-g03720ea10a8a))$ gg sysctl_userns_restrict ... kernel/user_namespace.c:int sysctl_userns_restrict __read_mostly;
(Ответ для Andrew Vasilyev на комментарий #5) > А в un-def не нужно? > > andy@andy:((kernel-image-un-def-5.14.17-alt1-0-g03720ea10a8a))$ gg > sysctl_userns_restrict > ... > kernel/user_namespace.c:int sysctl_userns_restrict __read_mostly; Конечно, нужно. В git я уже поменял, но хотел дождаться сборки std-def и определённости -- помогла ли эта сборка с проблемами учёта времени (это не связанная проблема, но исправлялась той же сборкой).
(In reply to Repository Robot from comment #4) > kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: > > Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 > - CLONE_USERNS default restriction restored (Closes: 41283) > - NVME fix for TF307-MB-S-D (Closes: 40718) > - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING Попытка заменить TICK_CPU_ACCOUNTING на что-нибудь приличное не нашла отражение в /proc/config.gz: -# Linux/x86_64 5.10.76-std-def-alt1 Kernel Configuration +# Linux/x86_64 5.10.78-std-def-alt2 Kernel Configuration Видимо, VIRT_CPU_ACCOUNTING_NATIVE на x86_64 нет, и это делается как-то иначе.
(Ответ для Dmitry V. Levin на комментарий #7) > (In reply to Repository Robot from comment #4) > > kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: > > > > Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 > > - CLONE_USERNS default restriction restored (Closes: 41283) > > - NVME fix for TF307-MB-S-D (Closes: 40718) > > - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING > > Попытка заменить TICK_CPU_ACCOUNTING на что-нибудь приличное не нашла > отражение в /proc/config.gz: > -# Linux/x86_64 5.10.76-std-def-alt1 Kernel Configuration > +# Linux/x86_64 5.10.78-std-def-alt2 Kernel Configuration > > Видимо, VIRT_CPU_ACCOUNTING_NATIVE на x86_64 нет, и это делается как-то > иначе. Ок, буду копать дальше, но, видимо это не в этой баге...
