请考虑以root权限运行的用户命名空间shell的以下脚本(命名空间中的UID 0,外部非特权):
# cat /proc/$$/status | grep CapEff
CapEff: 0000003cfdfeffff
# ls -al
total 8
drwxrwxrwx 2 root root 4096 Sep 16 22:09 .
drwxr-xr-x 21 root root 4096 Sep 16 22:08 ..
-rwSr--r-- 1 nobody nobody 0 Sep 16 22:09 file
# ln file link
ln: failed to create hard link 'link' => 'file': Operation not permitted
# su nobody -s /bin/bash -c "ln file link"
# ls -al
total 8
drwxrwxrwx 2 root root 4096 Sep 16 22:11 .
drwxr-xr-x 21 root root 4096 Sep 16 22:08 ..
-rwSr--r-- 2 nobody nobody 0 Sep 16 22:09 file
-rwSr--r-- 2 nobody nobody 0 Sep 16 22:09 link
显然,该进程具有CAP_FOWNER权限(0x8),因此应该能够硬链接到任意文件.但是,它很容易链接没有人拥有的SUID’d测试文件.没有什么可以阻止进程切换到nobody然后链接文件,因此父命名空间似乎不是问题.
为什么命名空间UID 0处理硬链接到文件而不切换其UID?