É seguro habilitar namespaces de usuário no CentOS 7.4 e como fazê-lo?

Navegue suas respostas
1

Estou tentando usar o Brave Browser na minha máquina do CentOS, mas quando tento executá-lo, ocorre o seguinte erro.

[19576:19576:0208/180128.818448:FATAL:zygote_host_impl_linux.cc(126)] No usable sandbox! Update your kernel or see https://chromium.googlesource.com/chromium/src/+/master/docs/linux_suid_sandbox_development.md for more information on developing with the SUID sandbox. If you want to live dangerously and need an immediate workaround, you can try using --no-sandbox. fish: “./brave” terminated by signal SIGABRT (Abort)

A página git do projeto disse que eu poderia receber um erro sobre sandboxing e sugeriu uma solução para ele.

Aqui está o que diz:

NOTE: If Brave does not start and shows an error about sandboxing, you may need to enable userns in your kernel. Running with the --no-sandbox flag is NOT recommended!

Agora, tenho três perguntas principais:

1) O que exatamente os usuários fazem? Eu tentei ler a man page nos namespaces de usuários, mas as coisas ficaram um pouco complicadas para mim, então eu apreciaria algumas explicações.

2) Tudo bem se eu permitir userns, ou pode causar alguns problemas?

3) Se estiver tudo bem, como faço isso? Esse é o método que encontrei, mas não tenho certeza se essa seria a melhor maneira de fazê-lo.

link

    
por Abdelrahman Said 12.02.2018 / 11:05

1 resposta

1

Namespaces é um recurso de kernel usado por contêineres como o LXC ou o docker. Você tem vários tipos, namespaces de PID, namespaces de usuários, ... E você está certo, é bastante complicado no começo. Eu acho que este post antigo tem uma boa explicação do porquê é útil para containers: link

So, why would I want to do this? Well, this is especially useful for providing root access inside of a container. Imagine that the root user (uid 0) in container A maps to uid 1000, and that root in container B maps to user id 2000 outside the container. Similar to network port mapping, this allows the administrator to give someone uid 0 (root) in the container without giving them uid 0 on the underlying system. It also allows a user to freely add/delete users inside the container.

No RHEL 7.4, deve ser incluído o kernel, mas desabilitado pela configuração (o número de namespaces disponíveis é definido como zero por padrão). Basta executar: 

echo 10000 > /proc/sys/user/max_user_namespaces
    
por 12.02.2018 / 13:11

Tags

Navegador esperando por conexão para sempre Preciso dos agentes QEMU e SPICE Agent instalados no Windows 10 guest?