Canonical njoftoi ndryshime në Ubuntu 23.10 që kufizojnë aksesin e përdoruesit në hapësirat e emrave të përdoruesve, duke përmirësuar sigurinë e sistemeve duke përdorur izolimin e kontejnerëve kundër dobësive që kërkojnë manipulim të hapësirës së emrave të përdoruesit. Sipas Google, 44% e shfrytëzimeve që marrin pjesë në programin e shpërblimeve për dobësitë e kernelit Linux kërkojnë aftësinë për të krijuar hapësira emrash të përdoruesve.
Në vend që të bllokojë plotësisht aksesin në hapësirën e emrave të përdoruesit, Ubuntu përdor një skemë hibride që lejon në mënyrë selektive programe të caktuara të krijojnë hapësira emrash përdoruesish nëse ato kanë një profil AppArmor me rregullin "lejo krijimin e përdoruesve" ose lejen CAP_SYS_ADMIN. Për shembull, Chrome ka një profil të quajtur /etc/apparmor.d/opt.google.chrome.chrome, i cili mund të përdoret si shembull për dhënien e aksesit në hapësirën e emrave të përdoruesit për programe të tjera.
Në versionin e ardhshëm të Ubuntu 23.10, kufizimi i aksesit në hapësirën e emrave të përdoruesit është planifikuar të ofrohet si një opsion jo i parazgjedhur. Gjatë disa javëve të ardhshme pas versionit të Ubuntu 23.10, zhvilluesit do të mbledhin informacion në lidhje me ndikimin e mundshëm negativ të çaktivizimit të aksesit në hapësirën e emrave të përdoruesit në paketa dhe do të përgatisin profilet përkatëse të AppArmor. Pastaj, në një përditësim të versionit të qëndrueshëm, kufizimi do të aktivizohet si parazgjedhje.
Për ta aktivizuar kufizimin herët, mund të përdorni komandat e mëposhtme: sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1
Për të çaktivizuar: sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Burimi: opennet.ru
