저는 Linux 네임스페이스용 사용자 공간 도구를 알고 unshare있으며 이를 사용하고 있습니다. nsenter가능할 때마다 루트 권한이 활성화된 상태로 작업하는 것을 피하기 때문에 종종 이러한 도구에 문제가 발생하여 unshare일부 "권한 거부"가 생성됩니다.
저 할 수 있어요첫 번째루트가 아닌 사용자가 이러한 도구를 사용할 수 있도록 하는 방법이 궁금하십니까?
둘째, 루트가 아닌 사용자가 네임스페이스를 사용할 수 있도록 단계적으로 진행하는 데 발생할 수 있는 위험이나 문제(보안 측면에서)에 대한 정보도 받을 수 있습니까?
이 질문과 관련된 나의 현재 지식 중 일부는 다음과 같습니다.사용자 네임스페이스커널 기능을 사용하면 루트가 아닌 사용자가 먼저 해당 사용자가 루트가 될 새 사용자 네임스페이스를 생성할 수 있으므로 해당 사용자 네임스페이스 내에서 사용자 네임스페이스가 중첩되어 생성될 수 있습니다.
이 질문에 대한 답을 묻고 토론할 수 있다면 도움이 될 것입니다.다른 방법루트가 아닌 사용자에 대해 네임스페이스(예: network, ipc, mount, pid 등)를 활성화합니다. 즉, 사용자 네임스페이스(현재 모든 Linux 배포판에서 활성화되지 않을 수 있음)를 사용하지 마십시오. 프록시 setuid 프로그램이 권한을 쉽게 유출하지 않으면서도 루트가 아닌 네임스페이스의 사용을 허용할 수 있다고 생각했습니까? 어쩌면 이것은 sudo편집을 통해 유명한 도구에서도 달성 될 수 있을까요 /etc/sudoers?
추가 배경setgpid()루트가 아닌 사용자를 위해 네임스페이스를 사용할 수 있기를 원하는 한 가지 이유는 프로세스 트리 를 무질서하게 하거나 이중 포크하거나 다른 방식으로 종료하는 경쟁 조건 없이 자식 및 하위 프로세스를 추적할 수 있기 때문입니다 . 즉, 나는 루트가 아닌 사용자로서 savely linux 네임스페이스를 사용하는 방법에 대한 일반적인 경우에 관심이 있지만, pid 네임스페이스만 활성화되어 있는 경우에도 힌트를 얻고 싶습니다.