我发现我的 Chromium 版本(Version 29.0.1547.57 Debian 7.1 (217859))并未默认启用所有沙盒功能。导航到chrome://sandbox/
显示结果:
Sandbox Status
SUID Sandbox Yes
PID name spaces Yes
Network namespaces Yes
Seccomp-BPF sandbox No
You are not adequately sandboxed!
我可以打开吗Seccomp-BPF sandbox
?我的操作系统统计数据是:
$ uname -a
Linux compname 3.2.0-4-amd64 #1 SMP Debian 3.2.46-1+deb7u1 x86_64 GNU/Linux
由于我已经卸载了桌面管理器,因此我通常从命令行启动 Chromium,如下所示:
nohup chromium >> /tmp/chromium.nohupout &
但是,我也尝试使用该--enable-seccomp-sandbox
标志启动 Chromium,沙盒仍然处于关闭状态。当我这样做时,我在 stderr 中收到警告消息:
ATTENTION: default value of option force_s3tc_enable overridden by environment.
最好是不需要我从源代码重新编译 Chromium 的解决方案。
答案1
该类型的沙盒在内核 3.4 或更低版本上不受支持;您可以使用 debian 反向移植来获取较新的内核,但请记住它不太稳定。