Мне непонятны причины, почему ядро компилировалось с “CONFIG_USER_NS=y” и ещё, вторая аналогичная функция (т.е. реализует аналогичную функцию). И, в результате, не возможно изменить параметры - даже при попытке выполнения: kernel.unprivileged_userns_clone=0
И, в связи с этим, вопрос: зачем при сборке ядра намеренно применялись эти, вышеуказанные параметры - чтобы заведомо оставить “дырки” в ядре? Для эксплойтов??
Поскольку, и в Debian и в Ubuntu (не говоря о других операционках) можно без излишних телодвижений изменять (настраивать) ядро. А, в данном случае, откровенно хороший Linux
(я уже более пяти лет пользуюсь вашим ПО), но, варианты такого рукоделия, как например: “CONFIG_USER_NS=y” - меня не устраивают, и, мне не понятно: Зачем делать заведомо плохо??
И, в связи с этим, вопрос: зачем при сборке ядра намеренно применялись эти, вышеуказанные параметры - чтобы заведомо оставить “дырки” в ядре? Для эксплойтов??
а мужики-то не в курсе…
<code>
This allows containers, i.e. vservers, to use user namespaces to provide different user info for different servers.
When user namespaces are enabled in the kernel it is recommended that the MEMCG option also be enabled and that user-space use the memory control groups to limit the amount of memory a memory unprivileged users can use.</code>
может тогда и от UID/GID откажемся?
а то этот PAM - это же потенциальная “дырка” в безопасности?
давайте будем сразу все из-под рута запускать
PS
для тех, кто не в курсе что из себя представляют namespaces и как их можно использовать, можно почитать хоть тут:
- http://eax.me/lxc/
- https://habrahabr.ru/company/selectel/blog/279281/
- https://www.opennet.ru/tips/2683_linux_namespace_gateway_virtual_route_iproute.shtml
если грубо и в двух словах, то namespaces - инструмент для избирательной изоляции ресурсов для некоторых групп процессов
PPS
уважаемый, Виктор. вы всегда можете собрать ядро со своим конфигом, вырезав из него все то, что вас не устраивает