https://lists.linuxcontainers.org/pipermail/lxc-users/2014-April/006554.html
里面提到,RHEL7 因为安全原因,禁用了user namespace,但有望在以后的更新里(7.1?)里启用它。
https://bugzilla.redhat.com/show_bug.cgi?id=917708 展示了从去年3月,Fedora的开发者对于user namespace的考虑
- Comment 1说的是当前的代码除非disable XFS,否则是不能打开USER_NS的。
- Comment 4说的是3.9的合并窗口期已经过去,XFS对USER_NS的支持已经加不进去,只能寄望于3.10了
- Comment 5说的是USER_NS相关的实现还有很多安全问题,比如clown-newuser.c就展示了本地提权的漏洞
- Comment 7说的是终于XFS不是障碍了(这个时候已经是3.12),但为了更安全,可能得修改代码,只让non-privileged用户使用相关功能
结论:缺乏商业能力的使用3.12之前内核的发行版(包括使用3.11内核的Ubuntu 13.10:http://blog.tutum.co/2013/12/14/enabling-the-user-namespace-in-ubuntu-13...),都不会直接支持 user namespace 的。但可以相信未来 RHEL7 会把内核最新的变更backport回它的 3.10 tree,为此特意在当前的代码里启用了 USER_NS以保证和未来的内核版本ABI兼容(只不过在 create_user_ns 的内部,第一行直接粗暴得返回 -EINVAL 了)
Topic:
本站的feed
最新评论