[linux-l] Debian Kernel und "unprivileged user namespaces"

[Michael Wiedmann]

Die Protagonisten:

- Debian Testing, 5.4.13
- Joplin, https://joplinapp.org/ Cross-Plattform Notizen App
  (Linux Desktop Version, Appimage) für NextCloud


Was bisher geschah:

Bis zur Vorgänger Version von Joplin funktioniert alles "problemlos".
Nach dem Update versagt das Programm den Start mit dem Hinweis:

$ .joplin/Joplin.AppImage
[3060:0125/101629.811532:FATAL:setuid_sandbox_host.cc(157)] The SUID
sandbox helper binary was found, but is not configured correctly. Rather
than run without sandboxing I'm aborting now. You need to make sure that
/tmp/.mount_JoplinH6lF4s/chrome-sandbox is owned by root and has mode
4755.

Web-Suche ergab im Endeffekt folgendes:
Debian Kernel (ggf. auch andere Distros) werden ggü. dem Standard Kernel
so gepatcht, dass "unprivileged user namespaces" disabled werden. Mit
dem sysctl setting "kernel.unprivileged_userns_clone=1" kann dies wieder
enabled werden, allerdings systemweit.

Nach einem testweise durchgeführten Setzen dieses sysctl settings
startet auch das Programm wieder.

Wahrscheinlich taucht das Problem erst jetzt auf, da der zum Erstellen
des Appimage benutzte "electron-builder" in einer neuen Version dies
"einbaut".


Nun die Frage:

Mir ist unbehaglich bei dem Gedanken dies für ein spezifisches Programm
"systemweit* (und damit für alle ggf. betroffenen Programme) zu enablen
(da ich die genauen Konsequenzen nicht genau überschaue.)

AFAICT wurde der Patch explizit im Standard Kernel zurückgewiesen (kann
also nicht so wichtig gewesen sein?)

Kann das jemand verständlich erklären?

Michael