From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 24 Nov 2021 16:03:18 +0000 From: "Vladimir D. Seleznev" To: ALT Linux Team development discussions Message-ID: References: <20211118143605.742f6370@tower> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Subject: Re: [devel] kernel.userns_restrict X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 24 Nov 2021 16:03:19 -0000 Archived-At: List-Archive: List-Post: On Wed, Nov 24, 2021 at 06:52:33PM +0300, Vladimir Didenko wrote: > чт, 18 нояб. 2021 г. в 14:36, Anton V. Boyarshinov: > > > > Добрый день > > > > Некоторое время назад я сделал ошибку при git rebase и потерял значение > > по умолчанию для sysctl kernel.userns_restrict > > > > Когда мне об этом сообщили, воспринял это как серьёзную проблему в > > безопасности и побежал исправлять. > > > > что с ним связано. Таким образом, нам в любой десктопный дистрибутив с gtk3 нечувствительно приезжает kernel.userns_restrict=0 и я считаю, что это > > блокер. Но на что вешать непонятно, ни к пуговицам, ни к рукавам претензий нет, но пиджак в целом никуда не годен. > > Добрый вечер. > > Я тут сегодня после обновления обнаружил, что у меня Mattermost не > запускается с вводящей в заблуждение ошибкой вроде > > The SUID sandbox helper binary was found, but is not configured > correctly. Rather than run without sandboxing I'm aborting now. You > need to make sure that <путь>/chrome-sandbox is owned by root and has > mode 4755. > > Хорошо, что я читаю devel, и понял, что причина это удаление конфига > из bubblewrap, но как быть обычному пользователю? Там же написано: make sure that ... chrome-sandbox is owned by root and has mode 4755. В Сизифе тот же chromium упакован так, что на chrome-sandbox установлен suid-бит. > Может, авторы изменений хотя бы страничку на нашей Вики оформят? А > еще, мы точно уверены, что дефолт, при котором программы без проблем > работающие на Ubuntu/Fedora/Arch у нас просто не запускаются это > хороший дефолт? Я за secure by default. > И, на всякий, ссылка на багтрекер электрона - > https://github.com/electron/electron/issues/17972. Можно посмотреть на > количество дупликатов, чтобы понять, что у пользователей отвалится > куча приложений. -- WBR, Vladimir D. Seleznev