什么规则可以阻止从chroot内部进入用户名称空间？

Question

# rpm -q --whatprovides /usr/bin/unshare
util-linux-2.32-2.fc28.x86_64
# unshare -r
#

即，如果以下情况不成功，则上述操作成功。这是什么规则造成的？

# rpm -q --whatprovides /usr/sbin/chroot
coreutils-8.29-6.fc28.x86_64
# chroot fedora-27
# rpm -q --whatprovides /usr/bin/unshare
util-linux-2.30.2-1.fc27.x86_64
# strace unshare -r
...
unshare(CLONE_NEWUSER)      = -1 EPERM (Operation not permitted)

Answer 1

https://serverfault.com/a/648637/133475

众所周知，能够使用chroot的进程能够突破chroot。由于unshare -r将向普通用户授予chroot权限，因此如果在chroot环境中允许使用该权限，则会带来安全风险。实际上，它是不允许的，并且失败了:取消共享:取消共享失败:与分摊(2)文档不允许的操作: EPERM (因为Linux3.9)是在标志中指定的，并且调用方处于chroot环境中(即调用方的根目录与其所在的挂载命名空间的根目录不匹配)。