در اوبونتو 23.10 "Mantic Minotaur" دسترسی به فضای نام کاربری محدود شده است.

پس زمینه اوبونتو 23.10 با روشن و تاریک

پس از راه اندازی نسخه جدید اوبونتو 23.10 "Mantic Minotaur" تمام جزئیات قبلا منتشر شده است این نسخه جدید از توزیع محبوب لینوکس (شما می توانید با انتشارات مربوط به آن در مراجعه کنید این لینک.). از تعداد زیادی تغییراتی که همراه با راه اندازی است، چندین مورد خاص وجود دارد که جنبه های خاصی از سیستم را تغییر می دهد.

دلیل ذکر این است که یکی از این تغییرات محدودیت جدید است که بر فضای نام کاربران تحمیل شده است.

تغییر جدید به این ترتیب توسط Canonical در اوبونتو 23.10 پیاده سازی شده است برای محدود کردن دسترسی کاربران غیرمجاز به فضاهای نام در نظر گرفته شده است، سیستم هایی را که به جداسازی کانتینر متکی هستند در برابر آسیب پذیری هایی که برای بهره برداری نیاز به دستکاری فضای نام کاربران دارند، ایمن تر می کند.

ل فضاهای نام کاربری غیرمجاز یک ویژگی هسته هستند که قابل استفاده است برای جایگزینی بسیاری از کاربردهای برنامه setuid و setguid و به برنامه ها اجازه می دهد تا جعبه های ماسه ای امن تری ایجاد کنند. فضاهای نام در هسته لینوکس اجازه تخصیص نمایش های مختلف منابع به فرآیندهای مختلف را می دهد; به عنوان مثال، یک فرآیند را می توان در محیطی با نقاط نصب، UTS، IPC، PID و پشته شبکه قرار داد که با محیط سایر فرآیندها همپوشانی ندارند.

فضای نام برای کاربران غیرمجاز اجازه ایجاد فضای نام نه تنها برای کاربر اصلی، بلکه برای کاربران عادی غیرمجاز را نیز می دهد (به عنوان مثال برای مرورگرهای جعبه ایمنی استفاده می شود). در میان چیزهای دیگر، شما می توانید فضای نام کاربری و فضای نام شبکه ایجاد کنید، که اجازه دادن به یک فرآیند در یک محیط ایزوله به طور مستقل امتیازات ریشه را دریافت کنید یا به ویژگی های پیشرفته پشته شبکه دسترسی داشته باشید، اما در خارج از کانتینر فاقد امتیاز باقی بمانید.

در تئوری، عملیات دارای امتیاز در فضای نام آنها از سیستم اصلی جدا شده اند، اما در عمل، آسیب‌پذیری‌ها به طور منظم در زیرسیستم‌های هسته ایجاد می‌شوند که برای یک کاربر غیرمجاز در محیط اصلی غیرقابل دسترسی هستند، اما می‌توانند با دستکاری‌هایی از فضای نام مورد سوء استفاده قرار گیرند.

مشکل این مدل این است که آنها رابط های هسته را آشکار می کنند که معمولاً محدود به فرآیندهایی با قابلیت های ممتاز (ریشه) برای استفاده توسط کاربران غیرمجاز هستند. به همین دلیل است این به نوبه خود تبدیل به فرآیندی می شود که خطرات امنیتی بیشتری را ایجاد می کند.، با افشای رابط های هسته بیشتر از حد لازم، به علاوه آنها اکنون به طور گسترده به عنوان مرحله ای در چندین زنجیره بهره برداری افزایش امتیاز استفاده می شوند. 

در مورد اوبونتو، اکنون این تغییر تغییر کرده است زیرا دسترسی به فضای نام کاربری اکنون فقط به برنامه‌هایی اعطا می‌شود که نمایه AppArmor خاصی برای آنها اضافه شده است که می‌تواند به عنوان نمونه برای باز کردن دسترسی به فضای نام کاربری برای برنامه‌های دیگر استفاده شود. این تغییر برای بهبود امنیت سیستم هایی ذکر شده است که از جداسازی کانتینر از آسیب پذیری هایی استفاده می کنند که برای سوء استفاده از آنها نیاز به دسترسی به فضای نام کاربر دارند.

در حالی که غیرفعال کردن فضاهای نام کاربری غیرمجاز می تواند یک اکسپلویت را متوقف کند، همچنین می تواند برنامه هایی را که از آنها استفاده می کنند خراب کند. به طور معمول، یک اکسپلویت یک برنامه خاص را هدف قرار می دهد و تا زمانی که فضای نام کاربری غیرمجاز را می توان برای آن برنامه ها غیرفعال کرد، نیازی به غیرفعال کردن آنها در سراسر سیستم نیست.

ذکر شده است که هیچ نسخه ای قبل از اوبونتو 23.10 "Mantic Minotaur" تحت تأثیر قرار نخواهد گرفت به دلیل این تغییر، حتی در هنگام استفاده از کرنل 6.5، زیرا این تابع مستقیماً در هسته فعال نیست، بلکه در بسته آپارمور خاص اوبونتو 23.10 "Mantic Minotaur" فعال است.

در پایان ذکر می شود برای کسانی که مایل به غیرفعال کردن این تغییر هستند می توانند با تایپ موارد زیر در ترمینال این کار را انجام دهند:

sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

اگر هستی علاقه مند به دانستن بیشتر در مورد آن است، می توانید جزئیات را بررسی کنید در لینک زیر.


اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.