userns: Don't allow creation if the user is chrooted
authorEric W. Biederman <ebiederm@xmission.com>
Fri, 15 Mar 2013 08:45:51 +0000 (01:45 -0700)
committerEric W. Biederman <ebiederm@xmission.com>
Wed, 27 Mar 2013 14:49:29 +0000 (07:49 -0700)
commit3151527ee007b73a0ebd296010f1c0454a919c7d
tree33175354889523cd20586fb28456e566529c46d9
parenteddc0a3abff273842a94784d2d022bbc36dc9015
userns:  Don't allow creation if the user is chrooted

Guarantee that the policy of which files may be access that is
established by setting the root directory will not be violated
by user namespaces by verifying that the root directory points
to the root of the mount namespace at the time of user namespace
creation.

Changing the root is a privileged operation, and as a matter of policy
it serves to limit unprivileged processes to files below the current
root directory.

For reasons of simplicity and comprehensibility the privilege to
change the root directory is gated solely on the CAP_SYS_CHROOT
capability in the user namespace.  Therefore when creating a user
namespace we must ensure that the policy of which files may be access
can not be violated by changing the root directory.

Anyone who runs a processes in a chroot and would like to use user
namespace can setup the same view of filesystems with a mount
namespace instead.  With this result that this is not a practical
limitation for using user namespaces.

Cc: stable@vger.kernel.org
Acked-by: Serge Hallyn <serge.hallyn@canonical.com>
Reported-by: Andy Lutomirski <luto@amacapital.net>
Signed-off-by: "Eric W. Biederman" <ebiederm@xmission.com>
fs/namespace.c
include/linux/fs_struct.h
kernel/user_namespace.c