Gibt es eigentlich distribuzjonen, die „unprivileged user namespaces“ standardmäßig einschalten?
Ja.
$ sysctl -a 2>/dev/null | grep unprivileged kernel.unprivileged_bpf_disabled = 0 kernel.unprivileged_userns_clone = 1 $ _
Das ist unbuntu gewesen. Damit betreiben manche leute sogar ihre server. Wenn aus dem $
-prompt ein #
werden kann, ist das ein verdammt dickes sicherheitsproblem. Und wer jetzt „aber dafür muss man erstmal einen lokalen user haben“ denkt, der denkt nicht an die vielen unter linux laufenden internet-der-dinge-dinger, die häufig einen login mit einem standardpasswort zulassen, aber dafür wohl eher selten ein halbwegs sicher und vernünftig konfiguriertes system haben. Die werden eher noch mieser als unbuntu konfiguriert sein…
Irgendwann werden gelangweilte kinder mit einem botnetz aus techniktinnef, der unter dem angeblich so „sicheren“ linux läuft, einfach die zivilisazjon ausknipsen, wenn das so weiter geht… 😦
Und dein Server läuft unter…?
Ach so. Natürlich.