InvoiceNinja项目在Ubuntu 24.04上的PDF生成问题解决方案

问题背景

InvoiceNinja是一款开源的发票管理解决方案，在其自托管版本中集成了SnapPDF组件用于PDF生成功能。近期随着Ubuntu 24.04 LTS版本的发布，部分用户在升级系统后发现PDF生成功能出现异常，表现为进程收到信号6或信号5的错误。

错误现象

用户在Ubuntu 24.04环境下尝试生成PDF时，系统会抛出以下错误信息：

Production.ERROR: The process has been signaled with signal "6"

或

Production.ERROR: The process has been signaled with signal "5"

通过直接运行Chrome二进制文件进行测试时，会得到更详细的错误信息：

FATAL:zygote_host_impl_linux.cc(127)] No usable sandbox!

根本原因分析

这个问题源于Ubuntu 23.10及后续版本（包括24.04 LTS）中引入的安全限制。这些版本默认禁用了非特权用户命名空间(AppArmor限制)，而Chrome/Chromium浏览器依赖这些功能来实现沙箱隔离。

具体来说，Ubuntu出于安全考虑，限制了非特权用户创建命名空间的能力，这影响了Chrome的沙箱机制。当InvoiceNinja通过SnapPDF组件调用Chrome进行PDF渲染时，由于沙箱无法正常初始化，导致进程被终止。

解决方案

方案一：使用AppArmor配置（推荐）

这是更安全的解决方案，通过为Chrome创建专门的AppArmor配置文件来允许必要的权限：

1. 首先确定SnapPDF使用的Chrome路径，通常位于：

/vendor/beganovich/snappdf/versions/[版本号]-Linux_x64/chrome-linux/chrome

2. 创建AppArmor配置文件：

export CHROMIUM_BUILD_PATH=/path/to/your/chrome/binary

cat | sudo tee /etc/apparmor.d/chrome-dev-builds <<EOF
abi <abi/4.0>,
include <tunables/global>

profile chrome \$CHROMIUM_BUILD_PATH flags=(unconfined) {
  userns,
  include if exists <local/chrome>
}
EOF

3. 重新加载AppArmor配置：

sudo service apparmor reload

方案二：禁用沙箱（不推荐）

虽然可以通过添加--no-sandbox参数临时解决问题，但这会降低安全性，不建议在生产环境中使用。

验证解决方案

执行以下命令验证Chrome是否可以正常运行：

/path/to/chrome/binary -v

如果看到类似以下输出，表示配置成功：

Missing X server or $DISPLAY
The platform failed to initialize. Exiting.

安全注意事项

1. 虽然解决方案中放宽了安全限制，但仍建议将InvoiceNinja运行在受限用户账户下
2. 定期检查Chrome二进制文件的完整性，防止被恶意替换
3. 考虑使用容器化部署方式，可以更好地隔离风险

总结

Ubuntu 24.04引入的安全限制影响了InvoiceNinja的PDF生成功能，通过合理配置AppArmor可以在保持系统安全性的同时恢复PDF生成能力。建议用户优先采用AppArmor配置方案，并在实施后进行全面测试以确保系统功能正常。