On Fri, Aug 10, 2012 at 01:48:48PM +0400, Андрей Черепанов wrote:
> 10.08.2012 03:58, Dmitry V. Levin пишет:
> >On Fri, Aug 10, 2012 at 02:00:17AM +0400, Aleksey Novodvorsky wrote:
> >>[aen@comp-atom-cpu-20159e ~]$ chromium
> >>[19628:19628:276997334397:FATAL:zygote_host_impl_linux.cc(150)] The
> >>SUID sandbox helper binary was found, but is not configured correctly.
> >>Rather than run without sandboxing I'm aborting now. You need to make
> >>sure that /usr/lib/chrome_sandbox is owned by root and has mode 4755.
> >>Аварийный останов
> >
> >Пакет, содержащий файл с такими правами 
> >доступа, не пройдет проверку
> >sisyphus_check'ом.
> Дима, что посоветуешь? От "песочницы" не 
> хотелось бы отказываться. Подробности: 
> http://code.google.com/p/chromium/wiki/LinuxSUIDSandbox

Предлагаю:
- не собирать пакет, если им не пользуешься;
- решив собирать пакет, сперва разобраться, как его собирать правильно;
- патчить пакет при необходимости, и, по возможности, апстримить патчи.

В данном конкретном случае предлагаю для начала запаковать
/usr/lib/chrome_sandbox c правами 4711, судя по коду в
chromium/src/content/browser/zygote_host_impl_linux.cc ему этого будет
вполне достаточно.

Потом надо будет сделать доступ к этом хелперу ограниченным, по аналогии
с /usr/lib/utempter/utempter и /usr/lib/chkpwd/tcb_chkpwd.


-- 
ldv