Canonical ilmoitti muutoksista Ubuntu 23.10:ssä, jotka rajoittavat käyttäjien pääsyä käyttäjätunnusavaruuksiin. Tämä parantaa säilön eristämistä käyttävien järjestelmien turvallisuutta haavoittuvuuksia vastaan, jotka vaativat käyttäjätunnusavaruuksien manipulointia. Googlen mukaan 44 % Linux-ytimen haavoittuvuuksien palkkio-ohjelmaan osallistuvista hyökkäyksistä vaatii mahdollisuuden luoda käyttäjätunnusavaruuksia.
Sen sijaan, että Ubuntu estäisi kokonaan pääsyn käyttäjätunnusavaruuteen, se käyttää hybridijärjestelmää, joka valikoivasti sallii tiettyjen ohjelmien luoda käyttäjätunnusavaruuksia, jos niillä on AppArmor-profiili, jolla on "allow userns create" -sääntö tai CAP_SYS_ADMIN-käyttöoikeus. Esimerkiksi Chromella on profiili nimeltä /etc/apparmor.d/opt.google.chrome.chrome, jota voidaan käyttää esimerkkinä käyttäjätunnusavaruuden käyttöoikeuden myöntämisestä muille ohjelmille.
Tulevassa Ubuntu 23.10 -julkaisussa käyttäjätunnusten käyttöoikeuksien rajoittamista on tarkoitus tarjota ei-oletusarvoisena vaihtoehtona. Ubuntu 23.10 -julkaisun jälkeisten viikkojen aikana kehittäjät keräävät tietoa käyttäjätunnusten käyttöoikeuksien poistamisen mahdollisista negatiivisista vaikutuksista paketteihin ja valmistelevat vastaavat AppArmor-profiilit. Tämän jälkeen vakaassa julkaisupäivityksessä rajoitus otetaan käyttöön oletusarvoisesti.
Voit ottaa rajoituksen käyttöön aikaisin seuraavilla komennoilla: sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1
Poista käytöstä komennolla: sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Lähde: opennet.ru
