Вопрос или проблема
Мы пять лет назад хорошо обсуждали, безопасно это или нет, и это по умолчанию было установлено на “да” в ядре более 3 лет назад (с примечанием, что любой, кто отключает это и заботится о безопасности, является параноиком).
Итак, было ли это использовано за эти 3 года? Я не смог найти ничего, и это не то, чем я следил в течение этого времени.
Проблемы, существующие более 5 лет, в основном заключались в том, что код ядра проверял привилегии без проверки пространств имен (так что root внутри пространства имен мог вызывать код uid 0 на хосте), и я надеюсь, что они это устранели с некоторой уверенностью перед установкой по умолчанию на “да”. В таком случае я бы предположил, что это сейчас в основном безвредно, если вы не вставляете странные модули. И под «в основном безвредно» я подразумеваю, что не хуже, чем любой локальный эксплойт в ядре. Чтобы подтвердить все эти предположения, я пытался искать эксплойты, использующие это, но не нашел никаких. Это действительно так или я не смог их найти?
Ответ или решение
Вопрос о возможности эксплуатации пространств имен без привилегий (unprivileged user namespaces) после их перевода по умолчанию в режим "включено" в ядре Linux более трех лет назад является актуальным для безопасности систем на базе Linux.
Давайте разберемся с основными моментами:
-
История и изменения в ядре: Отключение пространств имен без привилегий в предпоследние годы действительно считалось признаком излишней осторожности. Включение этой функции по умолчанию было своеобразным шагом вперед в обеспечении гибкости контейнеризации и виртуализации, однако предполагало также необходимость в повышении безопасности и исправлении потенциальных уязвимостей.
-
Работа с уязвимостями: За последние три года существует множество новостей и патчей, которые касаются безопасности пространств имен, и, как вы правильно отметили, существуют старые проблемы, связанные с проверками привилегий в коде ядра. В отличие от прошлых уязвимостей, современные подходы к обеспечению системной безопасности в ядре Linux, такие как использование проверки принадлежности к пространствам имен, стали более строгими.
-
Состояние эксплуатации: Насчет реальных случаев эксплуатации пространств имен без привилегий — конкретной информации о таких инцидентах в открытых источниках нет. Однако важно отметить, что исследовательское сообщество и производители операционных систем постоянно отслеживают и проверяют новые функции на предмет уязвимостей. Если бы в течение этих трех лет произошли значимые инциденты, они, скорее всего, стали бы известными, и соответствующая информация появилась бы в специализированных кругах и ресурсах.
-
Предположения и выводы: Вы абсолютно правы в своих предположениях о том, что при условии правильного исполнения проверок привилегий, пространство имен без привилегий в большинстве случаев считается относительно безопасным. Тем не менее, как и в случае с любой технологией, всегда остается риск потенциальных уязвимостей, особенно когда речь идет о выполнении кода с высоким уровнем привилегий или внедрении модулей.
В заключение, можно сказать, что пока отсутствуют публичные данные о массовых или значительных эксплуатациях пространств имен без привилегий после их перевода в режим "включено". Тем не менее, аспекты безопасности необходимо всегда держать в центре внимания, и пользователям рекомендуется следить за обновлениями безопасности и внедрять практики управления рисками в своих системах.