net: Update the per network namespace sysctls to be available to the network namespac...
authorEric W. Biederman <ebiederm@xmission.com>
Fri, 16 Nov 2012 03:03:01 +0000 (03:03 +0000)
committerDavid S. Miller <davem@davemloft.net>
Mon, 19 Nov 2012 01:32:45 +0000 (20:32 -0500)
- Allow anyone with CAP_NET_ADMIN rights in the user namespace of the
  the netowrk namespace to change sysctls.
- Allow anyone the uid of the user namespace root the same
  permissions over the network namespace sysctls as the global root.
- Allow anyone with gid of the user namespace root group the same
  permissions over the network namespace sysctl as the global root group.

Signed-off-by: "Eric W. Biederman" <ebiederm@xmission.com>
Signed-off-by: David S. Miller <davem@davemloft.net>
net/sysctl_net.c

index e98f3932bdfb177fc76070f5f81eab02f30f3781..6410436aa492caa0800f9b04d74000f62f3901e2 100644 (file)
@@ -41,11 +41,21 @@ static int is_seen(struct ctl_table_set *set)
 static int net_ctl_permissions(struct ctl_table_header *head,
                               struct ctl_table *table)
 {
+       struct net *net = container_of(head->set, struct net, sysctls);
+       kuid_t root_uid = make_kuid(net->user_ns, 0);
+       kgid_t root_gid = make_kgid(net->user_ns, 0);
+
        /* Allow network administrator to have same access as root. */
-       if (capable(CAP_NET_ADMIN)) {
+       if (ns_capable(net->user_ns, CAP_NET_ADMIN) ||
+           uid_eq(root_uid, current_uid())) {
                int mode = (table->mode >> 6) & 7;
                return (mode << 6) | (mode << 3) | mode;
        }
+       /* Allow netns root group to have the same assess as the root group */
+       if (gid_eq(root_gid, current_gid())) {
+               int mode = (table->mode >> 3) & 7;
+               return (mode << 3) | (mode << 3) | mode;
+       }
        return table->mode;
 }