<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><div dir="ltr">Interesting, I haven't changed it and it set setuid; exactly the same as yours.<div><br></div><div>$ ls -l /usr/bin/bwrap <br>-rwsr-xr-x 1 root root 59680 Nov 28 22:14 /usr/bin/bwrap<br></div></div></div><div><br></div><div>There's no oddness in my mounts; / is just a plain old ext4 and doesn't have suid or anything set</div><div><br></div><div>/dev/mapper/jj--vg-root / ext4 rw,relatime,errors=remount-ro 0 0<br></div><div><br></div><div>non-modified kernel</div><div><br></div><div>$ uname -a<br>Linux jj 5.4.0-4-amd64 #1 SMP Debian 5.4.19-1 (2020-02-13) x86_64 GNU/Linux<br></div><div dir="ltr"><br></div><div>It's the clone that fails:</div><div><br></div><div>7836  stat("/proc/self/ns/cgroup", {st_mode=S_IFREG|0444, st_size=0, ...}) = 0<br>7836  eventfd2(0, EFD_CLOEXEC)          = 5<br>7836  clone(child_stack=NULL, flags=CLONE_NEWNS|CLONE_NEWCGROUP|CLONE_NEWUTS|CLONE_NEWIPC|CLONE_NEWUSER|CLONE_NEWPID|CLONE_NEWNET|SIGCHLD) = -1 EPERM (Operation not permitted)<br>7836  write(2, "bwrap: ", 7)            = 7<br>7836  write(2, "No permissions to creating new namespace, likely because the kernel does not allow non-privileged user namespaces. On e.g. debian this can be enabled with 'sysctl kernel.unprivileged_userns_clone=1'.", 199 <unfinished ...><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Mar 12, 2020 at 6:56 PM Simon McVittie <<a href="mailto:smcv@debian.org">smcv@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, 12 Mar 2020 at 17:14:12 +1100, Ian Wienand wrote:<br>
> 7836  write(2, "No permissions to creating new namespace, likely because the kernel does not allow non-privileged user namespaces. On e.g. debian this can be enabled with 'sysctl kernel.unprivileged_userns_clone=1'.", 199 <unfinished ...><br>
> ---<br>
> <br>
> Setting kernel.unprivileged_userns_clone = 1 made thumbnails work again.<br>
<br>
Is /usr/bin/bwrap setuid root? If you haven't changed it, its permissions<br>
should be something like this:<br>
<br>
$ ls -l /usr/bin/bwrap<br>
-rwsr-xr-x 1 root root 59680 Nov 28 11:14 /usr/bin/bwrap<br>
<br>
It's meant to work on Debian kernels if it is setuid root *or*<br>
if the kernel.unprivileged_userns_clone sysctl is set to 1.<br>
<br>
    smcv<br>
</blockquote></div></div></div>