После запуска новая версия Ubuntu 23.10 "Mantic Minotaur" все подробности уже раскрыты этой новой версии популярного дистрибутива Linux (вы можете ознакомиться с публикацией об этом в ссылку.). Из большого количества изменений, сопровождающих запуск, есть несколько специфических, меняющих те или иные аспекты системы.
Причина упоминания об этом в том, что одно из этих изменений — новое ограничение это было наложено на пространства имен пользователей.
Новое изменение, реализованное Canonical в Ubuntu 23.10. предназначен для ограничения доступа непривилегированных пользователей к пространствам имен., что делает системы, использующие изоляцию контейнеров, более защищенными от уязвимостей, которые требуют манипулирования пространствами имен пользователей.
Пространства имен непривилегированных пользователей — это функция ядра. que se puede utilizar заменить многие варианты использования программ setuid и setguid и разрешить приложениям создавать более безопасные песочницы. Пространства имен в ядре Linux позволяют назначать разные представления ресурсов разным процессам; Например, процесс можно поместить в среду со своими точками монтирования, UTS, IPC, PID и сетевым стеком, не пересекающимися со средой других процессов.
Пространства имен для непривилегированных пользователей разрешить создавать пространства имен не только для пользователя root, но и для обычных непривилегированных пользователей (например, используется для изолированных браузеров). Помимо прочего, вы можете создавать пользовательские пространства имен и сетевые пространства имен, которые разрешить процесс в изолированной среде автономное получение root-прав или получить доступ к расширенным функциям сетевого стека, но оставаться непривилегированным за пределами контейнера.
Теоретически операции привилегированный в пространстве имен Они изолированы от основной системы, но на практике в подсистемах ядра регулярно возникают уязвимости, которые недоступны непривилегированному пользователю в основном окружении, но могут быть использованы путем манипуляций из пространств имен.
Проблема этой модели, в том, что они предоставляют интерфейсы ядра которые обычно ограничиваются процессами с привилегированными (root) возможностями для использования непривилегированными пользователями. Оттого Это, в свою очередь, становится процессом, который создает дополнительные риски безопасности., открывая больше интерфейсов ядра, чем необходимо, плюс они теперь широко используются в качестве шага в нескольких цепочках эксплойтов повышения привилегий.
В случае с Ubuntu ситуация изменилась, поскольку доступ к пользовательскому пространству имен теперь предоставляется только тем программам, для которых был добавлен специальный профиль AppArmor, который можно использовать в качестве примера для открытия доступа к пользовательскому пространству имен для других программ. Упоминается, что это изменение направлено на повышение безопасности систем, использующих изоляцию контейнеров от уязвимостей, для использования которых требуется доступ к пространству имен пользователя.
Хотя отключение пространств имен непривилегированных пользователей может остановить эксплойт, оно также может привести к поломке приложений, которые их используют. Обычно эксплойт нацелен на конкретное приложение, и пока для этих приложений можно отключить пространства имен непривилегированных пользователей, нет необходимости отключать их в масштабе всей системы.
Упоминается, что ни одна версия до Ubuntu 23.10 «Mantic Minotaur» не будет затронута. из-за этого изменения даже при использовании ядра 6.5, поскольку эта функция включается не непосредственно в ядре, а в специальном пакете Apparmor Ubuntu 23.10 «Mantic Minotaur».
Наконец, упоминается, что те, кто хочет отключить это изменение, могут сделать это, набрав в терминале следующее:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Если вы интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.