Пытаюсь выполнить команду firejail --net=lo --net=none ping -c 1 127.0.0.1 для проверки возможности отключения программы от сети с оставлением доступа в lo сеть на своей машине. При этом получаю ошибку: Error: cannot attach to lo device Установка возможностей через setcap cap_net_admin+eip /usr/bin/firejail не помогает. Привожу лог терминала: su - firejail --net=lo --net=none ping -c 1 127.0.0.1 Error: cannot attach to lo device setcap cap_net_admin+eip /usr/bin/firejail getcap /usr/bin/firejail /usr/bin/firejail cap_net_admin=eip firejail --net=lo --net=none ping -c 1 127.0.0.1 Error: cannot attach to lo device Проверял на Альт 11 РС К.
Аналогичное поведение заметил и в ветке Р10
Проблема воспроизведена на Sisyphus в версии firejail-0.9.74-alt1 Однако, исходя из мануала, есть предположение, что --net=lo и не будет работать, т.к. --net=none создает новый loopback. --net=none Enable a new, unconnected network namespace. The only interface available in the new names‐ pace is a new loopback interface (lo). Use this option to deny network access to programs that don't really need network access. И в моем понимании, опция --net=none должна сама по себе оставлять доступ в lo сеть. У меня сработала команда вот в таком виде: # firejail --noprofile --net=none ping -c 1 127.0.0.1 firejail version 0.9.74 Parent pid 37677, child pid 37678 The new log directory is /proc/37678/root/var/log Base filesystem installed in 0.05 ms Child process initialized in 30.66 ms PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.024 ms --- 127.0.0.1 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.024/0.024/0.024/0.000 ms Parent is shutting down, bye... Но наличия ошибки это не отменяет. @rider, прошу посмотреть.
В апстрим занесите пожалуйста.
(In reply to Anton Farygin from comment #3) > В апстрим занесите пожалуйста. https://github.com/netblue30/firejail/issues/108 уже там.
