apt-get install chromiumDebian 12에서 실행한 후
ps alx | grep -e ^F -e ^5.*chromium다음을 반환합니다.
F UID PID PPID PRI NI VSZ RSS WCHAN STAT TTY TIME COMMAND
5 1000 3452315 3452313 20 0 33884428 16712 do_sys S ? 0:00 /usr/lib/chromium/chromium --type=zygote --crashpad-handler-pid=3452306 --enable-crash-reporter=,built on Debian 12.4, running on Debian 12.4 --change-stack-guard-on-fork=enable
이 명령은 apt-get install chromium-browserLUbuntu 18 이후에 실행됩니다.
snap install chromium/var/lib/dpkg/info/chromium-browser.preinst
F UID PID PPID PRI NI VSZ RSS WCHAN STAT TTY TIME COMMAND
5 1000 197953 197951 20 0 33909972 1228 do_sys S ? 0:00 /snap/chromium/2729/usr/lib/chromium-browser/chrome --type=zygote --crashpad-handler-pid=197944 --enable-crash-reporter=,snap --change-stack-guard-on-fork=enable
플래그 F값 의 의미는 5다음과 같습니다.슈퍼유저 권한 사용에 따르면 man ps.
일반 패키지 관리를 통해 설치하고 권한이 없는 사용자가 실행할 때 Chromium 브라우저에 슈퍼유저 권한이 필요하고 획득되는 이유는 무엇입니까?
ChatGPT에서는 설치나 업데이트를 위해 이 작업이 수행될 것이라고 말하지만 저는 일반 설치를 사용하고 업데이트가 Debian 또는 Ubuntu에서 수행될 것이라고 믿지 않습니다 apt-get.unattended-upgradessnapd
답변1
그런데:
플래그 F 값 5는 man ps에 따라 사용되는 수퍼유저 권한을 나타냅니다.
사실이지만 그 뿐만이 아닙니다: 5 = 1 + 4
PROCESS FLAGS 이 값의 합계는 플래그 출력 지정자에 의해 제공되는 "F"열에 표시됩니다.
1 forked but didn't exec 4 used super-user privileges
이것분기되었지만 실행되지 않음--type=zygote 나열한 크롬 프로세스에 설정된 매개변수가 실제로 고려되어 성공적으로 만들어졌는지 확인하세요.수정란 과정.
또한, 과거형 사용에 주의하시기 바랍니다.사용된"이는 이 보고서가 프로세스가 초기화된 후 즉시 제거될 가능성이 있는 기능과 관련된 현재 상태를 반영하지 않는다는 것을 의미합니다. (프로세스가 더 이상 필요하지 않게 되는 즉시 권한을 제거하는 것이 모범 사례로 간주됩니다.)
명백한 보안상의 이유로Chromium은 샌드박싱을 사용합니다..
지금은 매우 오래된 커널의 경우를 제외하고는 다음을 사용합니다.사용자 네임스페이스 샌드박스 기술. zygote 프로세스가 이를 설정하는 역할을 합니다.
보안 측면에서 Zygote는 네임스페이스 샌드박스를 설정하고 문서화하는 일을 담당합니다.
이 기술은 권한 없는 네임스페이스를 기반으로 하지만 이를 설정하는 프로세스에는 실제로 권한 있는 네임스페이스가 필요합니다.CAP_SYS_CHROOT능력하지만 단지샌드박스가 완전히 작동할 때까지.
간단히 말해서, 권한 없는 방식으로 실행되는 모든 것을 활성화하고... ;-) 적절한 환경이 설정되면 제거하기 위해 프로세스에는 실제로 수퍼유저 기능이 필요합니다.