Почему пользователь root не может создать песочницу браузера?
Процессу не нужно открывать fd, чтобы использовать его.
Это работает, если родительский процесс позволяет дочернему процессу наследовать дескриптор открытого файла.
Кстати, :я бы доверился trussи проверил /proc/<pid>/fd/список дескрипторов открытых файлов.
In linux, why cannot the root user create sandbox for chrome or opera browsers like other users?
Существует несколько известных способов выйти из песочницы, если вы можете иметь полные привилегии суперпользователя в песочнице; Создатели Chrome и Opera, по-видимому, не хотят заявлять, что их конкретные технологии песочницы защищены от атак такого типа.
Why should the root user need to launch the browser with --no-sandbox args?
Чтобы пользователь знал, что на функцию «песочницы» нельзя полагаться при запуске от имени пользователя root.
Why should the root user need to launch the browser with --no-sandbox args?
Are there any ways to create sandbox environment in browser for root users?
Общая рекомендация — не запускать веб-браузер с правами root, и точка.
Веб-браузер представляет собой большую и очень сложную программу, которой регулярно приходится иметь дело с входящими ненадежными данными из сети, которые могут или не могут быть фактически созданы с враждебными намерениями. Как правило, вы хотели бы запускать такие программы с абсолютным минимумом возможных привилегий.
Вы можете запустить браузер как root un-sandboxingс его помощью.
Я сделал простой скрипт, который может помочь включить или отключить различные браузеры в корневом каталоге. Сценарий представит вам меню, которое будет включать или отключать браузер в зависимости от вашего выбора.
Используйте ссылку профиля, если ссылка репозитория не работает.