2023年10月12日，Canonical发布了Ubuntu 23.10。这个新版本的Ubuntu Linux看起来已经不错了。然而，有一个新的安全特性没有得到太多关注：受限的非特权用户的命名空间。这有可能显著提高Linux桌面和容器的安全性。

但是，您可能会问，什么是“受限的非特权用户命名空间”?好吧，让我先解释一下什么是“非特权用户命名空间”。它们是2019年在Linux 3.8内核中引入的一个Linux内核功能。其目的是为了避免Linux权限特权模型带来的安全问题，该模型将用户分为两组：普通用户和超级用户，即root用户。问题是，当你是超级用户时，没有什么是你不能做的。

在这个模型中，有很多方法可以解决这个问题，而无特权用户命名空间就是为了保护Linux的安全，使管理员能够设置沙箱或容器，普通用户可以在容器中充当超级用户来执行管理任务，而不必是主Linux系统的root用户。然而，一旦黑客获得了容器内的root权限，他们就可以入侵并对主机系统造成严重破坏。

事实证明，没有特权的用户命名空间是一把双刃剑。虽然它们有助于创建安全的应用程序沙箱，并取代setuid和setguid程序的许多使用，但它们会将内核接口暴露给没有特权的用户，从而导致潜在的安全漏洞。这些命名空间在几个权限提升漏洞攻击链中都有涉及。

Ubuntu 23.10现在正面应对这一挑战。新版本将采用由AppArmor策略控制和规范的受限的非特权用户命名空间。这种选择性方法确保只有经过授权的应用程序才能访问和使用这些名称空间，从而显著降低了相关的安全风险。

AppArmor是一个Linux内核安全模块。它使系统管理员能够通过使用标准Unix/Linux强制访问控制（MAC）权限来限制程序的功能。自2007年Ubuntu7.10出现以来，AppArmor已经内置到Ubuntu Linux中。它也用于SUSE Linux系列。

可以使用AppArmor在每个应用程序的基础上通过AppArmor策略选择性地允许和禁止无特权用户命名空间。Canonical将为Chrome、Firefox和Thunderbird等流行程序提供预先构建的AppArmor策略。

随着Canonical收集用户反馈，它将为更多的应用程序构建更多的AppArmor配置文件。这个增强的安全特性最初将是可选择的。你可以通过shell启用它。

要启用此功能，请从shell中使用以下两个命令：

$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1

$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1

如果要禁用它，请运行以下两个命令：

$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0

$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

Ubuntu特别感兴趣的是，在将其作为默认功能集成到操作系统之前，收集用户反馈以完善和优化此安全措施。

然后，一旦完善，该功能将在23.10通过稳定发布更新（SRU）默认打开。预计一旦它运行良好，它将在未来的所有Ubuntu版本中运行。

这个功能是Ubuntu 23.10独有的，不会影响以前版本的用户。这标志着Ubuntu在确保用户体验始终处于领先地位的同时，不断努力确保其操作系统的安全性以抵御不断演变的网络安全威胁上迈出了重要的一步。