Bitcoin Core在Kubuntu系统上的Guix构建问题分析与解决方案

问题背景

在Kubuntu 24.04和24.10系统上使用Guix构建Bitcoin Core时，用户遇到了两个主要的权限错误：

1. mount: mount "none" on "/tmp/guix-directory.VEMlin": Permission denied
2. clone: 2114060305: Permission denied

这些问题主要出现在系统升级后，特别是从Kubuntu 23.10升级到24.04或24.10版本后。Guix作为Bitcoin Core的官方构建系统，其正常运行对于开发者构建可复现的二进制文件至关重要。

根本原因分析

经过调查，这些问题与Kubuntu系统中的AppArmor安全模块密切相关。AppArmor是Linux内核的一个安全模块，它通过为应用程序配置安全策略来限制其能力。在Kubuntu 24.04及更高版本中，默认的AppArmor配置过于严格，阻止了Guix执行必要的操作：

1. 挂载操作被阻止：Guix需要挂载临时文件系统来创建隔离的构建环境，但AppArmor默认策略不允许这些操作。
2. 命名空间创建失败：Guix依赖Linux命名空间来实现环境隔离，AppArmor阻止了这些系统调用。

解决方案

方法一：完全禁用AppArmor（不推荐）

虽然完全禁用AppArmor可以解决问题，但这会降低系统安全性，并且可能导致依赖AppArmor的其他应用程序（如Firefox、Brave浏览器等）无法正常运行。

sudo systemctl stop apparmor
sudo systemctl disable apparmor
sudo apt purge apparmor

方法二：定制AppArmor策略（推荐）

更安全的解决方案是为Guix创建自定义的AppArmor策略，允许其执行必要的操作而不影响其他应用程序的安全性。

1. 创建或编辑/etc/apparmor.d/guix文件：

abi <abi/4.0>,
include <tunables/global>

# Guix二进制文件的配置文件
profile guix /usr/local/bin/guix flags=(unconfined) {
  userns,
  # 站点特定的添加和覆盖
  include if exists <local/guix>
}

# 非特权用户命名空间的配置文件
profile unprivileged_userns flags=(unconfined) {
}

2. 重新加载AppArmor配置：

sudo apparmor_parser -r /etc/apparmor.d/guix

方法三：使用替代发行版

如果上述解决方案在特定Kubuntu版本上仍然存在问题，考虑切换到对Guix支持更好的Linux发行版，如Manjaro或Debian。

技术细节

1. Guix构建环境：Guix使用Linux命名空间和挂载点来创建隔离的构建环境，确保构建过程的可复现性。
2. AppArmor限制：Kubuntu 24.04+的AppArmor默认配置限制了非特权用户命名空间的创建和挂载操作。
3. 安全权衡：完全禁用AppArmor虽然简单，但会降低系统整体安全性；定制策略则需要在安全性和功能性之间取得平衡。

最佳实践建议

1. 在修改系统安全配置前，先备份重要数据。
2. 优先考虑定制AppArmor策略而非完全禁用。
3. 定期检查Guix和AppArmor的更新，以获取更好的兼容性。
4. 考虑在专用开发机器或容器中运行Guix构建，避免影响主系统。

通过以上解决方案，开发者应该能够在Kubuntu系统上顺利使用Guix构建Bitcoin Core，同时保持合理的系统安全级别。