Idmap mounts

Материал из ALT Linux Wiki

Имеющаяся в ядре функциональность монтирования с отображением пользователей вызывает некоторые сомнения в безопасности реализации (см, например https://gitlab.com/redhat/centos-stream/src/kernel/centos-stream-9/-/merge_requests/131) и далеко не всем и не всегда нужна.

Поэтому в наших ядрах после 5.15.6-alt1 включен патч, позволяющий управлять доступностью этой функциональности через sysctl kernel.idmap_mounts. Значение 0 означает, что она недоступна (по умолнчанию), для включения надо выставить параметр в 1.

При попытке использовать выключенные idmappad mounts, в логе ядра появится строка: VFS: idmapped mount is not enabled