Idmap mounts

Материал из ALT Linux Wiki
Версия от 15:22, 6 декабря 2021; AntonBoyarshinov (обсуждение | вклад) (Новая страница: «Имеющаяся в ядре функциональность монтирования с отображением пользователей вызывает некоторые сомнения в безопасности реализации (см, например https://gitlab.com/redhat/centos-stream/src/kernel/centos-stream-9/-/merge_requests/131) и далеко не всем и не всегда нужна. Поэтому в наших ядрах...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Имеющаяся в ядре функциональность монтирования с отображением пользователей вызывает некоторые сомнения в безопасности реализации (см, например https://gitlab.com/redhat/centos-stream/src/kernel/centos-stream-9/-/merge_requests/131) и далеко не всем и не всегда нужна.

Поэтому в наших ядрах после 5.15.6-alt1 включен патч, позволяющий управлять доступностью этой функциональности через sysctl kernel.idmap_mounts. Значение 0 означает, что она недоступна (по умолнчанию), для включения надо выставить параметр в 1.

При попытке использовать выключенные idmappad mounts, в логе ядра появится строка: VFS: idmapped mount is not enabled