Chromiumブラウザのスーパーユーザー権限

Chromiumブラウザのスーパーユーザー権限

apt-get install chromiumDebian 12 で実行した後、
ps alx | grep -e ^F -e ^5.*chromium次を返します。

F   UID     PID    PPID PRI  NI    VSZ   RSS WCHAN  STAT TTY        TIME COMMAND
5  1000 3452315 3452313  20   0 33884428 16712 do_sys S  ?          0:00 /usr/lib/chromium/chromium --type=zygote --crashpad-handler-pid=3452306 --enable-crash-reporter=,built on Debian 12.4, running on Debian 12.4 --change-stack-guard-on-fork=enable

このコマンドはapt-get install chromium-browserLUbuntu 18 以降に実行されます。
snap install chromium/var/lib/dpkg/info/chromium-browser.preinst

F   UID     PID    PPID PRI  NI    VSZ   RSS WCHAN  STAT TTY        TIME COMMAND
5  1000  197953  197951  20   0 33909972 1228 do_sys S   ?          0:00 /snap/chromium/2729/usr/lib/chromium-browser/chrome --type=zygote --crashpad-handler-pid=197944 --enable-crash-reporter=,snap --change-stack-guard-on-fork=enable

フラグF値の意味は5次のとおりです。スーパーユーザー権限の使用によるとman ps

一般的なパッケージ管理を介してインストールし、権限のないユーザーが実行するときにChromiumブラウザにスーパーユーザー権限が必要であり、取得されるのはなぜですか?

ChatGPTはインストールまたはアップデートのためにこれを行うと言いますが、私は通常のインストールを使用し、アップデートがDebianまたはUbuntuで実行されるとは信じていませんapt-getunattended-upgradessnapd

答え1

ところで:

フラグF値5は、man psに従って使用されるスーパーユーザー権限を表します。

本当ですが、それだけではありません:5 = 1 + 4

PROCESS FLAGSこの値の合計は、フラグ出力指定子によって提供される「F」列に表示されます。

           1    forked but didn't exec
           4    used super-user privileges

これ分岐したが実行されない--type=zygote リストしたChromeプロセスで設定されたパラメータが実際に考慮され、正常に作成されたことを確認してください。受精卵コース

また、過去型の使用にご注意ください。使用される「これは、このレポートがプロセスが初期化された直後に削除される可能性がある機能に関する現在の状態を反映していないことを意味します。 )


明らかなセキュリティ上の理由からChromiumはサンドボックスを使用しています。
今は非常に古いカーネルの場合を除いて、次のものを使用します。ユーザーネームスペースサンドボックス技術。 zygote プロセスがこれを設定する役割を果たします。

セキュリティの観点からは、Zygoteはネームスペースサンドボックスの設定と文書化を担当しています。

この手法は無許可の名前空間に基づいていますが、これを設定するプロセスには実際に特権のある名前空間が必要です。CAP_SYS_CHROOT能力しかし、ただサンドボックスが完全に機能するまで。

簡単に言えば、権限のない方法で実行されているすべてを有効にして... ;-)適切な環境が設定されたら削除するには、プロセスには実際にスーパーユーザー機能が必要です。

関連情報