23.10 이하 버전에서는 잘 동작하던 sandboxed application들이 Ubuntu 24.04 부터 아래 오류를 출력하며 실행되지 않을 수 있습니다. (AppImage나 컨테이너 기능들)
2024-05-11T20:26:53.662869+02:00 XXX kernel: audit: type=1400 audit(1715452013.661:463): apparmor="AUDIT" operation="userns_create" class="namespace" info="Userns create - transitioning profile" profile="unconfined" pid=52568 comm="trezor-suite" requested="userns_create" target="unprivileged_userns"
2024-05-11T20:26:53.676885+02:00 XXX kernel: traps: trezor-suite[52568] trap int3 ip:56e0121d634a sp:7ffe7f362260 error:0 in trezor-suite[56e00e6d5000+7e39000]
2024-05-11T20:26:53.758488+02:00 XXX systemd[1]: tmp-.mount_Trezorvs9be5.mount: Deactivated successfully.
이유는 apparmor 4.0이 사용되는 24.04 부터 process를 sandbox 하는 syscall을 호출할 때 보안이 한층 강화되었습니다. default behavior는 아마 unprivileged userns 기능이 restricted 일거라 생각되지만 distro를 배포하는 엔지니어의 kernel config 설정에 따라 on/off 됩니다.
당장 데스크톱 사용시 해당 이슈가 발생하면 아래처럼 기능을 disable하여 실행할 수 있으나 보안 이슈가 생길 수 있습니다.
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Note: 기능 disable을 통해 발생하는 보안 이슈에 대해서는 책임지지 않습니다.
참고: Bug #2065498 “After upgrade to Kubuntu 24.04 The Trezor Suite st...” : Bugs : AppArmor