Root権限(名前空間内のUID 0、外部の権限なし)で実行されているユーザー名空間シェルの次のトランスクリプトを検討してください。
# cat /proc/$$/status | grep CapEff
CapEff: 0000003cfdfeffff
# ls -al
total 8
drwxrwxrwx 2 root root 4096 Sep 16 22:09 .
drwxr-xr-x 21 root root 4096 Sep 16 22:08 ..
-rwSr--r-- 1 nobody nobody 0 Sep 16 22:09 file
# ln file link
ln: failed to create hard link 'link' => 'file': Operation not permitted
# su nobody -s /bin/bash -c "ln file link"
# ls -al
total 8
drwxrwxrwx 2 root root 4096 Sep 16 22:11 .
drwxr-xr-x 21 root root 4096 Sep 16 22:08 ..
-rwSr--r-- 2 nobody nobody 0 Sep 16 22:09 file
-rwSr--r-- 2 nobody nobody 0 Sep 16 22:09 link
どうやら、プロセスにはCAP_FOWNER権限(0x8)があるため、任意のファイルにハードリンクできるはずです。ただし、nobody
が所有するSUIDされたテストファイルのリンクに失敗します。プロセスがnobody
に切り替えてからファイルをリンクすることを妨げるものは何もないため、親の名前空間は問題ではないようです。
名前空間化されたUID0がUIDを切り替えずにlink
をfile
にハードリンクできないのはなぜですか?
質問で説明されている動作はバグでしたが、これは 今後のLinux 4.4で修正されます です。