apt-get install chromium
Debian 12 で実行した後、
ps alx | grep -e ^F -e ^5.*chromium
次を返します。
F UID PID PPID PRI NI VSZ RSS WCHAN STAT TTY TIME COMMAND
5 1000 3452315 3452313 20 0 33884428 16712 do_sys S ? 0:00 /usr/lib/chromium/chromium --type=zygote --crashpad-handler-pid=3452306 --enable-crash-reporter=,built on Debian 12.4, running on Debian 12.4 --change-stack-guard-on-fork=enable
このコマンドはapt-get install chromium-browser
LUbuntu 18 以降に実行されます。
snap install chromium
/var/lib/dpkg/info/chromium-browser.preinst
F UID PID PPID PRI NI VSZ RSS WCHAN STAT TTY TIME COMMAND
5 1000 197953 197951 20 0 33909972 1228 do_sys S ? 0:00 /snap/chromium/2729/usr/lib/chromium-browser/chrome --type=zygote --crashpad-handler-pid=197944 --enable-crash-reporter=,snap --change-stack-guard-on-fork=enable
フラグF
値の意味は5
次のとおりです。スーパーユーザー権限の使用によるとman ps
。
一般的なパッケージ管理を介してインストールし、権限のないユーザーが実行するときにChromiumブラウザにスーパーユーザー権限が必要であり、取得されるのはなぜですか?
ChatGPTはインストールまたはアップデートのためにこれを行うと言いますが、私は通常のインストールを使用し、アップデートがDebianまたはUbuntuで実行されるとは信じていませんapt-get
。unattended-upgrades
snapd
答え1
ところで:
フラグF値5は、man psに従って使用されるスーパーユーザー権限を表します。
本当ですが、それだけではありません:5 = 1 + 4
PROCESS FLAGSこの値の合計は、フラグ出力指定子によって提供される「F」列に表示されます。
1 forked but didn't exec 4 used super-user privileges
これ分岐したが実行されない--type=zygote
リストしたChromeプロセスで設定されたパラメータが実際に考慮され、正常に作成されたことを確認してください。受精卵コース。
また、過去型の使用にご注意ください。使用される「これは、このレポートがプロセスが初期化された直後に削除される可能性がある機能に関する現在の状態を反映していないことを意味します。 )
明らかなセキュリティ上の理由からChromiumはサンドボックスを使用しています。。
今は非常に古いカーネルの場合を除いて、次のものを使用します。ユーザーネームスペースサンドボックス技術。 zygote プロセスがこれを設定する役割を果たします。
セキュリティの観点からは、Zygoteはネームスペースサンドボックスの設定と文書化を担当しています。
この手法は無許可の名前空間に基づいていますが、これを設定するプロセスには実際に特権のある名前空間が必要です。CAP_SYS_CHROOT
能力しかし、ただサンドボックスが完全に機能するまで。
簡単に言えば、権限のない方法で実行されているすべてを有効にして... ;-)適切な環境が設定されたら削除するには、プロセスには実際にスーパーユーザー機能が必要です。