Que fait l'activation de kernel.unprivileged_userns_clone?
Ce message a été envoyé à ma websocket:
echo kernel.unprivileged_userns_clone = 1 | Sudo tee /etc/sysctl.d/00-local-userns.conf
Est-ce dangereux et que ferait-il?
Merci pour vos commentaires à tous, il y a de fortes chances que ce soit quelqu'un qui essaie d'installer Brave Browser qui a accidentellement collé dans la mauvaise case et je réagis de manière excessive.
L'activation d'espaces de noms d'utilisateurs non privilégiés ouvre de graves vulnérabilités dans le noyau Linux. Si vous n'aviez pas l'intention de l'activer, vous devez vous assurer qu'il est désactivé. De nombreuses vulnérabilités trouvées régulièrement ne sont souvent exploitables que si les espaces de noms d'utilisateurs non privilégiés sont pris en charge et activés par le noyau.
Il désactive un peu le "renforcement" que les correctifs Debian apportent à leur noyau de distribution. Si vous n'exécutez pas un tel noyau, il échouera et ne fera rien, car n tel paramètre n'existe même pas dans le noyau Linux principal . Si vous exécutiez un tel noyau corrigé, tout ce qu'il ferait serait de désactiver la fonctionnalité de ce correctif et de laisser votre noyau fonctionner comme tous les autres noyaux, permettant aux utilisateurs non privilégiés d'utiliser unshare -U. Contrairement à la réponse de Forest, je ne pense pas que ce soit dangereux. En particulier, si un utilisateur peut Sudo pour rooter (comme cela serait nécessaire pour le désactiver), il peut déjà faire tout ce que cela lui permettrait.