From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <502519A1.8090702@altlinux.ru> Date: Fri, 10 Aug 2012 18:24:33 +0400 From: =?KOI8-R?Q?=E1=CE=C4=D2=C5=CA_=FE=C5=D2=C5=D0=C1=CE=CF=D7?= User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.5) Gecko/20120621 Thunderbird/10.0.5 MIME-Version: 1.0 To: sisyphus@lists.altlinux.org References: <201208081921.15295.cas@altlinux.ru> <20120808191206.GB15099@osdn.org.ua> <201208100018.29870.cas@altlinux.ru> <201208092350.35677.cas@altlinux.ru> <20120809215138.GB14577@osdn.org.ua> <20120809235810.GA15548@altlinux.org> <5024D900.90607@altlinux.ru> <20120810112017.GA20316@altlinux.org> In-Reply-To: <20120810112017.GA20316@altlinux.org> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [sisyphus] Chromium 21.0.1158.0-alt1.r139751 X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 10 Aug 2012 14:24:33 -0000 Archived-At: List-Archive: List-Post: 10.08.2012 15:20, Dmitry V. Levin пишет: > On Fri, Aug 10, 2012 at 01:48:48PM +0400, Андрей Черепанов wrote: >> 10.08.2012 03:58, Dmitry V. Levin пишет: >>> On Fri, Aug 10, 2012 at 02:00:17AM +0400, Aleksey Novodvorsky wrote: >>>> [aen@comp-atom-cpu-20159e ~]$ chromium >>>> [19628:19628:276997334397:FATAL:zygote_host_impl_linux.cc(150)] The >>>> SUID sandbox helper binary was found, but is not configured correctly. >>>> Rather than run without sandboxing I'm aborting now. You need to make >>>> sure that /usr/lib/chrome_sandbox is owned by root and has mode 4755. >>>> Аварийный останов >>> >>> Пакет, содержащий файл с такими правами >>> доступа, не пройдет проверку >>> sisyphus_check'ом. >> Дима, что посоветуешь? От "песочницы" не >> хотелось бы отказываться. Подробности: >> http://code.google.com/p/chromium/wiki/LinuxSUIDSandbox > > Предлагаю: > - не собирать пакет, если им не пользуешься; > - решив собирать пакет, сперва разобраться, как его собирать правильно; > - патчить пакет при необходимости, и, по возможности, апстримить патчи. > > В данном конкретном случае предлагаю для начала запаковать > /usr/lib/chrome_sandbox c правами 4711, судя по коду в > chromium/src/content/browser/zygote_host_impl_linux.cc ему этого будет > вполне достаточно. > > Потом надо будет сделать доступ к этом хелперу ограниченным, по аналогии > с /usr/lib/utempter/utempter и /usr/lib/chkpwd/tcb_chkpwd. Ok. Исправил. Проверил - у меня работает. Пусть сутки полежит задание в [test-only]. Если возражений нет, завтра вечером отправлю в Sisyphus. -- Андрей Черепанов ALT Linux cas@altlinux.ru