بعد إطلاق برنامج الإصدار الجديد من Ubuntu 23.10 "Mantic Minotaur" تم بالفعل إصدار جميع التفاصيل من هذا الإصدار الجديد من توزيعة Linux المشهورة (يمكنك الرجوع إلى المنشور حول هذا الموضوع في هذا الرابط.). من بين العدد الكبير من التغييرات التي تصاحب عملية الإطلاق، هناك العديد من التغييرات المحددة التي تغير جوانب معينة من النظام.
وسبب ذكر هذا هو أن أحد هذه التغييرات هو القيد الجديد التي تم فرضها على مساحات أسماء المستخدمين.
التغيير الجديد الذي نفذته Canonical في Ubuntu 23.10 يهدف إلى تقييد وصول المستخدم غير المميز إلى مساحات الأسماءمما يجعل الأنظمة التي تعتمد على عزل الحاويات أكثر أمانًا ضد الثغرات الأمنية التي تتطلب استغلال مساحات أسماء المستخدمين.
الكثير تعد مساحات أسماء المستخدمين غير المميزة إحدى ميزات kernel ذلك يمكن استخدامه ليحل محل العديد من استخدامات برامج setuid وsetguid والسماح للتطبيقات بإنشاء صناديق حماية أكثر أمانًا. مساحات الأسماء في نواة لينكس السماح بتخصيص تمثيلات مختلفة للموارد لعمليات مختلفة; على سبيل المثال، يمكن وضع عملية في بيئة بها نقاط التثبيت الخاصة بها، UTS، وIPC، وPID، ومكدس الشبكة، والتي لا تتداخل مع بيئة العمليات الأخرى.
مساحات الأسماء للمستخدمين غير المميزين السماح بإنشاء مساحات أسماء ليس فقط للمستخدم الجذر، ولكن أيضًا للمستخدمين العاديين الذين لا يتمتعون بالامتيازات (على سبيل المثال، يُستخدم للمتصفحات ذات وضع الحماية). من بين أشياء أخرى، يمكنك إنشاء مساحات أسماء المستخدمين ومساحات أسماء الشبكات، والتي السماح بعملية في بيئة معزولة مستقل الحصول على امتيازات الجذر أو الوصول إلى الميزات المتقدمة لمكدس الشبكات، ولكن تظل دون امتيازات خارج الحاوية.
من الناحية النظرية، العمليات مميزة داخل مساحة الاسم وهي معزولة عن النظام الرئيسي، ولكن من الناحية العملية، تنشأ نقاط الضعف بانتظام في أنظمة kernel الفرعية التي لا يمكن لمستخدم لا يتمتع بالامتيازات الوصول إليها في البيئة الرئيسية، ولكن يمكن استغلالها عن طريق التلاعب من مساحات الأسماء.
المشكلة في هذا النموذج هو أنها تعرض واجهات kernel والتي تقتصر عادةً على العمليات ذات الإمكانات المميزة (الجذر) للاستخدام من قبل المستخدمين غير المميزين. هذا هو السبب وهذا بدوره يصبح عملية تؤدي إلى مخاطر أمنية إضافية.، من خلال الكشف عن واجهات kernel أكثر من اللازم، بالإضافة إلى أنها تُستخدم الآن على نطاق واسع كخطوة في العديد من سلاسل استغلال تصعيد الامتيازات.
في حالة Ubuntu، تغير هذا الآن حيث أصبح الوصول إلى مساحات أسماء المستخدمين يُمنح الآن فقط للبرامج التي تمت إضافة ملف تعريف AppArmor خاص لها والذي يمكن استخدامه كمثال لفتح الوصول إلى مساحة اسم المستخدم للبرامج الأخرى. ويهدف هذا التغيير إلى تحسين أمان الأنظمة التي تستخدم عزل الحاوية عن الثغرات الأمنية التي تتطلب الوصول إلى مساحة اسم المستخدم لاستغلالها.
في حين أن تعطيل مساحات أسماء المستخدمين غير المميزة يمكن أن يوقف الاستغلال، فإنه يمكن أيضًا أن يعطل التطبيقات التي تستخدمها. عادةً، يستهدف الاستغلال تطبيقًا محددًا، وطالما أنه من الممكن تعطيل مساحات أسماء المستخدمين غير المميزين لهذه التطبيقات، فليست هناك حاجة لتعطيلها على مستوى النظام.
يذكر أن لن يتأثر أي إصدار سابق لـ Ubuntu 23.10 "Mantic Minotaur". بسبب هذا التغيير، حتى عند استخدام kernel 6.5، حيث لم يتم تمكين الوظيفة مباشرة في kernel ولكن ضمن حزمة الملابس المحددة لـ Ubuntu 23.10 "Mantic Minotaur".
أخيرًا، نذكر أنه بالنسبة لأولئك الذين يرغبون في تعطيل هذا التغيير، يمكنهم القيام بذلك عن طريق كتابة ما يلي في الوحدة الطرفية:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0 sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
إذا كنت مهتم بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.