Сначала решение, а потом рассмотрим причину.
$ cat /etc/apparmor.d/usr.bin.bwrap
abi <abi/4.0>,
include <tunables/global>
/usr/bin/bwrap flags=(unconfined) {
userns,
# Site-specific additions and overrides. See local/README for details.
include if exists <local/bwrap>
}
Приведенный пример файла позволит скрипту песочницы bwrap создавать user-namespace. Что решит проблему в Ubuntu Gnome, например, где bwrap массово используется для вызова тех или иных программ "в песочнице" (sandbox). Без вышеприведенной конфигурации вызовы bwrap (в частности, вызов ffmpegthumbnailer, или вызов gtk-pixbuf-thumbnailer для генерации превьюшек разных типов файлов) заканчивались ошибкой «bwrap: No permissions to creating new namespace».
Почему так вышло?
Распространенная проблема в новых Ubuntu, начиная с версии 18.04, особенно ярко проявилась в 22.04 и самой последней на сегодняшний день – 24.04. Одной из коренных причин является решение разработчиков Gnome Desktop сделать генерацию превьюшек (они же thumbnails) в т.н. "песочнице". А конкретно - через вызов того или иного thumbnailer-а с помощью bwrap/bubblewrap. При этом профиль безопасности в Apparmor для bwrap разработчики Gnome не добавили, не барское это дело, видите ли. В принципе, разработчики Gnome точно также клали болт и на прочие проблемы пользователей, так что неудивительно.
В результате годами пользователи сталкиваются с данной проблемой, и, либо удаляют apparmor, либо добавляют правила для нужных программ самостоятельно, либо вообще прибегают к хаку sudo chmod u+x /usr/bin/bwrap. Правильными являются первые два варианта, но если вам не хочется удалять apparmor – то просто добавьте правило соответствующее в /etc/apparmor.d/ по вышеприведенному образцу. Такой же подход, кстати, действует и для других программ. Например, epiphany (веб-браузер Gnome), где аналогичная проблема с запуском через песочницу.
Возможно, кстати, есть способ эти правила хранить где-то у пользователя в домашней папке, если кто знает – поделитесь в комментариях, не стесняйтесь.
Напоследок одна полезная фишка, которая поможет быстрее находить проблему. Если ваше любимое приложение перестало нормально вызываться в Gnome стандартным способом (через ярлык), то попробуйте вызвать его через консоль с выводом отладочной информации. Например, G_MESSAGES_DEBUG=all nautilus. Откроется окно программы, а в консоль продолжит выводиться тонна отладочной информации, по которой можно нагуглить решение проблемы.
