我最近设置了一台 Debian 10.4 Buster/Windows 10 双启动机器。我跟着这个指导 确切地说,它会指示您运行以下命令,以便能够在 Debian 10 上运行 Brave 浏览器:
echo 'kernel.unprivileged_userns_clone=1' > /etc/sysctl.d/userns.conf
显然,这是强制性的;否则,当您单击某个窗口时,Brave 浏览器将不会启动该窗口。
然而,在我安装了 Brave 后,我根据这个读到了邮政,有些人认为上面的命令很危险,它会让你的 Linux 内核非常容易受到攻击。
我有几个问题:(1) Debian 10 启动 Brave 浏览器真的必须执行此步骤吗?或者有一些解决方法吗? (2) 这真的存在安全风险吗?如果是这样,程度如何?
我已经使用 Brave 一段时间了,非常喜欢它的隐私功能、速度和整体性能。如果为了让它在我的 Linux 发行版上运行,我必须做一些让我的 Linux 内核暴露于严重漏洞的事情,那就太讽刺了?!
答案1
我设置'kernel.unprivileged_userns_clone=0'
为/etc/sysctl.d/userns.conf
禁用非特权用户命名空间,你瞧,Brave 浏览器仍然启动了!我还尝试全新安装 Brave 浏览器,而不执行指南中的最后一个命令来启用非特权用户命名空间。再一次,Brave 发布时没有出现任何问题。
看来这是不是毕竟这是一个强制性步骤,至少对于我的设置来说是这样。我认为没有人应该建议用户执行这一不必要且具有潜在危险的步骤。只有在绝对必要的情况下才应该这样做,当然,还要考虑潜在的风险。