След пускането на пазара на нова версия на Ubuntu 23.10 "Mantic Minotaur" всички подробности вече са публикувани на тази нова версия на популярната Linux дистрибуция (можете да се консултирате с публикацията за нея в тази връзка.). От големия брой промени, които съпътстват стартирането, има няколко специфични, които променят определени аспекти на системата.
Причината за споменаването на това е, че една от тези промени е новото ограничение което е наложено върху пространствата от имена на потребителите.
Новата промяна като такава, въведена от Canonical в Ubuntu 23.10 има за цел да ограничи непривилегирован потребителски достъп до пространства от имена, което прави системите, които разчитат на изолация на контейнери, по-сигурни срещу уязвимости, които изискват манипулиране на пространствата от имена на потребителите, за да бъдат използвани.
Лос Непривилегированите потребителски пространства от имена са функция на ядрото които могат да се използват за да замени много употреби на програмите setuid и setguid и позволява на приложенията да създават по-сигурни пясъчни кутии. Пространства от имена в ядрото на Linux позволяват присвояване на различни представяния на ресурси на различни процеси; Например, даден процес може да бъде поставен в среда със свои собствени точки на монтиране, UTS, IPC, PID и мрежов стек, които не се припокриват със средата на други процеси.
Пространства от имена за непривилегировани потребители позволяват създаване на пространства от имена не само за root потребителя, но и за нормалните непривилегировани потребители (напр. използвани за браузъри в пясъчна среда). Освен всичко друго, можете да създавате потребителски пространства от имена и мрежови пространства от имена, които позволи процес в изолирана среда standalone получи root права или достъп до разширени функции на мрежовия стек, но остават непривилегировани извън контейнера.
На теория операциите привилегирован в рамките на пространство от имена Те са изолирани от основната система, но на практика редовно възникват уязвимости в подсистемите на ядрото, които са недостъпни за непривилегирован потребител в основната среда, но могат да бъдат използвани чрез манипулации от пространства от имена.
Проблемът с този модел, е, че те разкриват интерфейси на ядрото които обикновено са ограничени до процеси с привилегировани (root) възможности за използване от непривилегировани потребители. Ето защо Това от своя страна се превръща в процес, който въвежда допълнителни рискове за сигурността., като разкриват повече интерфейси на ядрото, отколкото е необходимо, плюс те сега се използват широко като стъпка в няколко вериги за експлойт за ескалиране на привилегии.
В случая на Ubuntu това вече е променено, тъй като достъпът до потребителските пространства от имена вече се предоставя само на програми, за които е добавен специален AppArmor профил, който може да се използва като пример за отваряне на достъп до потребителските пространства от имена за други програми. Промяната се споменава за подобряване на сигурността на системите, които използват изолация на контейнери от уязвимости, които изискват достъп до пространството на имената на потребителя, за да ги използват.
Въпреки че деактивирането на непривилегировани потребителски пространства от имена може да спре експлойт, то може също така да повреди приложения, които ги използват. Обикновено експлойтът е насочен към конкретно приложение и докато непривилегированите потребителски пространства могат да бъдат деактивирани за тези приложения, няма нужда да ги деактивирате за цялата система.
Споменава се, че нито една версия преди Ubuntu 23.10 „Mantic Minotaur“ няма да бъде засегната поради тази промяна, дори когато се използва ядро 6.5, тъй като функцията не е активирана директно в ядрото, а в специфичния пакет apparmor на Ubuntu 23.10 „Mantic Minotaur“.
Накрая се споменава, че тези, които желаят да деактивират тази промяна, могат да го направят, като напишат следното в терминал:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Ако сте заинтересовани да научите повече за това, можете да проверите подробностите В следващия линк.