Invoice Ninja项目在Ubuntu 24.04系统下的PDF生成问题解决方案

问题背景

在使用Invoice Ninja自托管版本(v5.11.9-C172)时，用户从Ubuntu 22.04升级到24.04 LTS后，发现PDF生成功能失效。系统日志显示进程收到了信号5或6的错误，核心问题与Chrome/Chromium浏览器的沙箱机制有关。

错误现象分析

当尝试生成PDF时，系统会抛出以下两种错误之一：

1. "The process has been signaled with signal 6"
2. "The process has been signaled with signal 5"

通过直接运行Chrome二进制文件可获取更详细的错误信息，关键报错为："No usable sandbox!"，这表明系统缺少可用的沙箱环境。

根本原因

Ubuntu 23.10及更高版本（包括24.04 LTS）默认禁用了非特权用户命名空间(AppArmor限制)，这是Chrome/Chromium浏览器安全沙箱运行的必要条件。这种安全限制导致Invoice Ninja依赖的SnapPDF组件无法正常生成PDF。

解决方案

方案一：使用--no-sandbox参数（不推荐）

虽然可以通过添加--no-sandbox参数快速解决问题，但这会降低系统安全性，不建议在生产环境中使用。

方案二：配置AppArmor策略（推荐）

更安全的解决方案是为Chrome创建专门的AppArmor策略：

1. 首先确定Chrome二进制文件路径，通常位于： /path/to/ninjainvoice/vendor/beganovich/snappdf/versions/[版本号]-Linux_x64/chrome-linux/chrome

2. 创建AppArmor配置文件：

export CHROMIUM_BUILD_PATH=/path/to/your/chrome/binary
sudo tee /etc/apparmor.d/chrome-dev-builds <<EOF
abi <abi/4.0>,
include <tunables/global>

profile chrome \$CHROMIUM_BUILD_PATH flags=(unconfined) {
  userns,
  include if exists <local/chrome>
}
EOF

3. 重新加载AppArmor配置：

sudo service apparmor reload

验证方法

执行以下命令验证配置是否生效：

/path/to/chrome/binary -v

预期输出应包含关于X服务器的错误（这表明Chrome已能正常启动，只是缺少显示环境），而非沙箱错误。

安全注意事项

1. 此解决方案授予了特定Chrome二进制文件额外的权限，应确保该文件路径不被恶意篡改
2. 建议在chroot环境中运行Invoice Ninja以增加安全性
3. 定期检查AppArmor日志，监控异常行为

其他环境说明

此问题不仅出现在Ubuntu 24.04上，在以下环境中也有类似报告：

• Debian 12系统
• Docker容器环境

对于Docker用户，可能需要调整容器权限或使用特定镜像来解决此问题。

总结

Ubuntu 24.04引入的安全限制影响了Invoice Ninja的PDF生成功能。通过合理配置AppArmor策略，可以在保持系统安全性的同时恢复PDF生成功能。建议用户优先采用方案二，并在实施后进行全面测试以确保系统稳定性。