Az indulás után a Az Ubuntu 23.10 új verziója "Mantic Minotaur" minden részlet már megjelent a népszerű Linux-disztribúció ezen új verziója (megtekintheti az erről szóló kiadványt itt: meg ezt a linket.). A bevezetést kísérő nagyszámú változtatás közül több olyan is van, amely megváltoztatja a rendszer bizonyos aspektusait.
Ennek megemlítésének oka az az egyik ilyen változás az új korlátozás amelyet a felhasználók névtereire kényszerítettek.
A Canonical által végrehajtott új változást az Ubuntu 23.10-ben célja, hogy korlátozza a jogosulatlan felhasználók névterekhez való hozzáférését, ami a konténerek elkülönítésére támaszkodó rendszereket biztonságosabbá teszi a felhasználói névterek manipulálását igénylő sebezhetőségekkel szemben.
sok A jogosulatlan felhasználói névterek a kernel szolgáltatásai hogy használható a setuid és setguid programok sok használatának lecserélésére és lehetővé teszi az alkalmazások számára, hogy biztonságosabb homokozókat hozzanak létre. Névterek a Linux kernelben lehetővé teszi az erőforrások különböző reprezentációinak hozzárendelését a különböző folyamatokhoz; Például egy folyamat elhelyezhető olyan környezetbe, amelynek saját csatolási pontjai, UTS, IPC, PID és hálózati verem vannak, amelyek nem fedik át más folyamatok környezetét.
Névterek jogosulatlan felhasználók számára lehetővé teszi a névterek létrehozását nem csak a root felhasználó, hanem a normál jogosulatlan felhasználók számára is (pl. sandbox-böngészőkhöz használják). Többek között létrehozhat felhasználói névtereket és hálózati névtereket, amelyek lehetővé tenni egy folyamatot elszigetelt környezetben önálló root jogosultságokat kap vagy hozzáférhet a hálózati verem speciális funkcióihoz, de a tárolón kívül jogosultság nélkül maradhat.
Elméletileg a műveletek privilegizált egy névtéren belül Elszigetelve vannak a fő rendszertől, de a gyakorlatban a rendszermag-alrendszerekben rendszeresen felbukkannak olyan sebezhetőségek, amelyek a főkörnyezetben egy privilegizálatlan felhasználó számára elérhetetlenek, de a névterekből történő manipulációk révén kihasználhatók.
A probléma ezzel a modellel, az, hogy felfedik a kernel interfészt amelyek jellemzően a privilegizált (root) képességekkel rendelkező folyamatokra korlátozódnak, amelyeket nem jogosult felhasználók használhatnak. Ezért Ez viszont további biztonsági kockázatokat rejtő folyamattá válik., azáltal, hogy a szükségesnél több kernel-interfészt tesznek közzé, ráadásul manapság már széles körben használatosak számos privilégium-eszkalációs kihasználási lánc lépéseként.
Az Ubuntu esetében ez most megváltozott, mivel a felhasználói névterekhez való hozzáférést már csak azok a programok kapják meg, amelyekhez speciális AppArmor profil került hozzáadásra, amely példaként használható a felhasználói névtérhez való hozzáférés megnyitására más programok számára. A változtatás célja, hogy javítsa azon rendszerek biztonságát, amelyek konténer-elkülönítést használnak a sebezhetőségektől, amelyek kihasználásához hozzáférés szükséges a felhasználó névteréhez.
Míg a nem jogosult felhasználói névterek letiltása leállíthatja a kizsákmányolást, az ezeket használó alkalmazásokat is megszakíthatja. Általában egy exploit egy adott alkalmazást céloz meg, és mindaddig, amíg a nem jogosult felhasználói névterek letilthatók ezeknél az alkalmazásoknál, nincs szükség a rendszerszintű letiltásra.
Azt emlegetik az Ubuntu 23.10 „Mantic Minotaur” előtti verzióit ez nem érinti ennek a változásnak köszönhetően, még a 6.5-ös kernel használatakor is, mivel a funkció nem közvetlenül a kernelben van engedélyezve, hanem az Ubuntu 23.10 "Mantic Minotaur" specifikus apparmor csomagjában.
Végezetül megemlítjük, hogy azok, akik szeretnék letiltani ezt a módosítást, a következőket tehetik meg egy terminálba:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Ha érdekelne többet megtudni róla, ellenőrizheti a részleteket A következő linken.