Bug 54253

Summary: Невозможно получить доступ к устройству lo
Product: Sisyphus Reporter: Сергей Серов <srv.28>
Component: firejailAssignee: Anton Farygin <rider>
Status: CLOSED WONTFIX QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: belayaav, rider
Version: unstable   
Hardware: x86   
OS: Linux   

Description Сергей Серов 2025-05-13 22:29:45 MSK 
Пытаюсь выполнить команду firejail --net=lo --net=none ping -c 1 127.0.0.1 для проверки возможности отключения программы от сети с оставлением доступа в lo сеть на своей машине. При этом получаю ошибку:
Error: cannot attach to lo device
Установка возможностей через setcap cap_net_admin+eip /usr/bin/firejail не помогает. 


Привожу лог терминала:
 
su -
firejail --net=lo --net=none ping -c 1 127.0.0.1
Error: cannot attach to lo device
setcap cap_net_admin+eip /usr/bin/firejail
getcap /usr/bin/firejail
/usr/bin/firejail cap_net_admin=eip
firejail --net=lo --net=none ping -c 1 127.0.0.1
Error: cannot attach to lo device

Проверял на Альт 11 РС К.
Comment 1 Сергей Серов 2025-05-14 10:07:23 MSK 
Аналогичное поведение заметил и в ветке Р10
Comment 2 Белая Алёна 2025-05-19 10:41:10 MSK 
Проблема воспроизведена на Sisyphus в версии firejail-0.9.74-alt1

Однако, исходя из мануала, есть предположение, что --net=lo и не будет работать, т.к. --net=none создает новый loopback. 

--net=none
              Enable a new, unconnected network namespace. The only interface available in the new names‐
              pace is a new loopback interface (lo).  Use this option to deny network access to  programs
              that don't really need network access.

И в моем понимании, опция --net=none должна сама по себе оставлять доступ в lo сеть. 

У меня сработала команда вот в таком виде: 
# firejail --noprofile --net=none ping -c 1 127.0.0.1
firejail version 0.9.74

Parent pid 37677, child pid 37678
The new log directory is /proc/37678/root/var/log
Base filesystem installed in 0.05 ms
Child process initialized in 30.66 ms
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.024 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.024/0.024/0.024/0.000 ms

Parent is shutting down, bye...

Но наличия ошибки это не отменяет. 
@rider, прошу посмотреть.
Comment 3 Anton Farygin 2025-05-19 10:52:45 MSK 
В апстрим занесите пожалуйста.
Comment 4 Anton Farygin 2025-05-19 10:58:40 MSK 
(In reply to Anton Farygin from comment #3)
> В апстрим занесите пожалуйста.

https://github.com/netblue30/firejail/issues/108
уже там.