Debian çekirdeğinde kullanıcı ad alanlarını etkinleştir

28

Çekirdekte kullanıcı ad alanları özelliğini etkinleştirmeyi nasıl anlamaya çalışıyorum (sanırım CAP_SYS_USER_NS). Debian Stretch, çekirdek 4.6.0-1-amd64 kullanıyorum.

Benim varsayım, kullanıcı ad alanlarını açmanın ve çekirdeği yeniden derlemenin bir yolu olduğudur. Birkaç saat aradıktan sonra, Ubuntu'da bunu yapan bir gönderi bulabilirim ( https://blog.tutum.co/2013/12/14/enabling-the-user-namespace-in-ubuntu-13-10-saucy/ ) ancak Debian değil (sorun yanlış yolda olabilirim ve bu yüzden aramalarım taban dışında).

Son oyunum, görünüşte çekirdeğin kullanıcı ad alanlarının etkinleştirilmesini gerektiren Docker ve Google korumalı alanına ayak uydurmak için bunları etkinleştirmektir (örneğin, Chrome kaplarım artık çalışmıyor).

debian  linux-kernel 
Senrabdet
kaynak
1
imz - Ivan Zakharyaschev

Yanıtlar:

38

Debian'da kullanıcılar derlenir, ancak varsayılan olarak devre dışıdır. Çekirdeğe, bu sysctl düğmesini ekleyen Debian'a özgü bir yama var: kernel.unprivileged_userns_clone

Yani içine yeni bir giriş eklemek /etc/sysctl.dve bunu ayarlamak zorunda 1

Manuel olarak şöyle olur: echo 1 > /proc/sys/kernel/unprivileged_userns_clone(sadece yeniden başlatılıncaya kadar etkinleştirmek için)

kalıcı bir çözüm için:

echo 'kernel.unprivileged_userns_clone=1' > /etc/sysctl.d/00-local-userns.conf
service procps restart

Eşdeğer bir önyükleme seçeneği parametresi var, sadece bilmiyorum

AB
kaynak
1
Bu hala Stretch, çekirdek üzerinde çalışıyor 4.9.0-1-amd64 #1 SMP Debian 4.9.6-3 (2017-01-28) x86_64 GNU/Linux.
Reid
1
Debian'da varsayılan olarak devre dışı bırakılmasının bir nedeni var mı?
Mart'ta Melroy
2
Tarihsel olarak kullanıcı ad alanının güvenliği belirsizdi. örneğin: lwn.net/Articles/673597 . Bir kullanıcı, kendi ad alanının içindeki kök olarak, çekirdeği gerçek ana bilgisayarda bir işleme izin verecek şekilde kandırabilirse, ayrıcalık yükselmesi olur. Genel kullanıcı olmayan ad alanları açık kök (böylece yönetici) izni gerektirir ve bu nedenle yöneticinin seçtiklerini çalıştırın: bu bilinen bir risktir. Vanilya çekirdeğine yeni bir mekanizma eklendi: user.max_user_namespaces. 0 olarak ayarlandığında kullanıcı ad alanları devre dışı bırakılır. Debian (aslında Ubuntu'dan) yaması muhtemelen eski olsa bile hala ortalıkta. Belki uyumluluk nedeniyle
AB
1
Çekirdek 4.18.3 henüz Debian'da yayınlanmadı, bu nedenle çekirdeğiniz Debian testinin çekirdeği değil. Bu parametreyi tamamen yok sayabilirsiniz (Debian'dan gerçek bir çekirdek yükleyene kadar). Ayrıca user.max_user_namespaces hakkında önceki yorumuma bakın
AB
3
Veya sadece: sudo sysctl -w kernel.unprivileged_userns_clone=1.
Skippy le Grand Gourou
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.