启动后 新版Ubuntu 23.10“Mantic Minotaur”所有细节已经发布 这个流行的 Linux 发行版的新版本(您可以在以下位置查阅有关它的出版物) 此链接.)。 在发布带来的大量变化中,有几个特定的变化改变了系统的某些方面。
提到这个的原因是 其中一项变化是新的限制 已强加于用户的名称空间。
Canonical 在 Ubuntu 23.10 中实施的新更改 旨在限制非特权用户对命名空间的访问,使依赖容器隔离的系统更安全地抵御需要操纵用户名称空间才能被利用的漏洞。
MGI 非特权用户命名空间是一项内核功能 可以使用 替换 setuid 和 setguid 程序的许多用途 并允许应用程序创建更安全的沙箱。 Linux 内核中的命名空间 允许将资源的不同表示分配给不同的进程; 例如,一个进程可以放置在一个有自己的挂载点、UTS、IPC、PID和网络堆栈的环境中,这些环境与其他进程的环境不重叠。
非特权用户的命名空间 不仅允许为 root 用户创建命名空间,还允许为普通非特权用户创建命名空间 (例如用于沙盒浏览器)。 除此之外,您可以创建用户命名空间和网络命名空间,这 允许一个进程 在孤立的环境中 独立获取root权限 或访问网络堆栈的高级功能,但在容器外部保持无特权。
理论上,操作 命名空间内的特权 它们与主系统隔离, 但实际上,内核子系统中经常会出现漏洞,主环境中的非特权用户无法访问这些漏洞,但可以通过命名空间的操作来利用这些漏洞。
这个模型的问题, 是它们暴露了内核接口 它们通常仅限于具有特权(root)功能的进程,供非特权用户使用。 这就是为什么 这反过来又成为一个引入额外安全风险的过程。,通过暴露比必要的更多的内核接口,而且它们现在被广泛用作多个特权升级漏洞利用链中的一个步骤。
就 Ubuntu 而言,这种情况现在已经发生了变化,因为现在仅向添加了特殊 AppArmor 配置文件的程序授予对用户命名空间的访问权限,该配置文件可以用作打开其他程序对用户命名空间的访问权限的示例。 提到这一更改是为了提高使用容器隔离的系统的安全性,避免需要访问用户的命名空间才能利用它们的漏洞。
虽然禁用非特权用户命名空间可以阻止漏洞利用,但它也可能破坏使用它们的应用程序。 通常,漏洞利用针对特定应用程序,只要可以为这些应用程序禁用非特权用户命名空间,就无需在系统范围内禁用它们。
有人提到 Ubuntu 23.10“Mantic Minotaur”之前的版本不会受到影响 由于这一变化,即使使用内核 6.5,该功能也不是直接在内核中启用,而是在 Ubuntu 23.10“Mantic Minotaur”特定 apparmor 包中启用。
最后,提到对于那些希望禁用此更改的人,他们可以通过在终端中键入以下内容来实现:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
如果你是 有兴趣了解更多,您可以查看详细信息 在下面的链接中。