一、报错
leo@leo:~$ Obsidian-1.9.14.AppImage[9235:1230/224711.001342:FATAL:sandbox/linux/suid/client/setuid_sandbox_host.cc:169]The SUID sandbox helper binary was found, but is not configured correctly. Rather than run without sandboxing I'm aborting now. You need tomakesure that /tmp/.mount_ObsiditlRj5P/chrome-sandbox is owned by root and has mode4755. 追踪或断点陷阱(核心已转储)二、临时解决
解决办法
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0注意这个只对启动有效,重启后就无效了
三、命令含义
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0 表示:
kernel.apparmor_restrict_unprivileged_userns - 内核参数,控制是否限制非特权用户创建用户命名空间 值为 1:限制普通用户创建用户命名空间(默认值) 值为 0:允许普通用户创建用户命名空间 作用:允许非特权用户(普通用户)创建用户命名空间(user namespace),这对某些容器工具(如 Podman、Docker rootless 模式)和沙箱程序是必要的。四、永久生效配置方法
方法1:通过 sysctl 配置文件(推荐)
# 1. 创建或编辑 sysctl 配置文件sudovim/etc/sysctl.d/99-unprivileged-userns.conf# 2. 添加以下内容kernel.apparmor_restrict_unprivileged_userns=0# 3. 保存后应用配置sudosysctl-p/etc/sysctl.d/99-unprivileged-userns.conf方法2:直接添加到主配置文件
# 1. 编辑主配置文件sudovim/etc/sysctl.conf# 2. 在文件末尾添加kernel.apparmor_restrict_unprivileged_userns=0# 3. 应用配置sudosysctl-p方法3:使用 systemd-sysctl
# 1. 创建配置目录(如果不存在)sudomkdir-p/etc/sysctl.d/# 2. 写入配置echo"kernel.apparmor_restrict_unprivileged_userns=0"|sudotee/etc/sysctl.d/99-unprivileged-userns.conf# 3. 重启系统或执行sudosystemctl restart systemd-sysctl验证配置
# 查看当前值sysctlkernel.apparmor_restrict_unprivileged_userns# 或cat/proc/sys/kernel/apparmor_restrict_unprivileged_userns注意事项
安全考虑:允许非特权用户创建用户命名空间可能会增加系统攻击面,请确保了解相关安全风险。 发行版差异: Ubuntu 20.04+ 默认开启此限制 RHEL/CentOS 8+ 默认禁用此限制(值为0) 容器工具依赖: Podman rootless 模式需要此设置为0 Docker rootless 模式也需要 某些沙箱工具(如 Firejail、Bubblewrap)需要 立即生效 vs 永久生效: sysctl -w:立即生效,但重启后失效 配置文件:永久生效,但需要重启或执行 sysctl -p推荐使用方法1,因为它将配置独立存储,便于管理和维护。
