Por que o namespace de montagem não compartilhado requer CAP_SYS_ADMIN?

2

Para um projeto meu eu preciso apenas do namespace de montagem não compartilhado, que requer o recurso CAP_SYS_ADMIN (veja namespaces ). Embora seja possível criar um novo namespace de montagem sem recursos ao não compartilhar o namespace de usuário, eu gostaria de evitar isso, já que isso introduz outras limitações (por exemplo, programas setuid não podem ser chamados de lá). Estou pensando em escrever um programa setuid que permita a liberação do espaço de armazenamento para todos e fiquei imaginando se isso é inseguro de alguma forma. Atualmente não consigo pensar em um cenário em que seria esse o caso. Então, qual é a razão por trás de não permitir o compartilhamento do espaço de armazenamento para usuários regulares?

    
por spawn 21.10.2018 / 13:20

0 respostas

Tags