Каков классический режим снимка, и почему некоторые снимки не устанавливают без него (например, Visual Studio MS)?

Я пытался установить Код Visual Studio MS как снимок на Ubuntu 16.04 со следующей командой:

sudo snap install vscode

но у меня есть следующая ошибка:

error: This revision of snap "vscode" was published using classic confinement and thus may perform
       arbitrary system changes outside of the security sandbox that snaps are usually confined to,
       which put your system at risk.

       If you understand and want to proceed repeat the command including --classic.

Я хотел бы знать то, что делает --classic флаг делает (не просто man объяснение страницы) и почему я получал предыдущую ошибку, в то время как я устанавливал Код Visual Studio.

12
задан 23 June 2019 в 06:17

1 ответ

Посмотрите это короткое видео , которое объясняет каждую из моделей удержания, доступных в снимках, почему --classic существует и это вариант использования.


Источники : Следующая документация взята из snapcraft.io: политика ограничения .

строгий

Это политика безопасности по умолчанию, применяемая к привязкам. Снимок имеет права на чтение и / или запись только в своем собственном месте установки и выбранных областях. Он имеет доступ к библиотекам, которые он связывает и / или предоставляет ядро ​​или ubuntu-core snap. Расширенные права могут быть предоставлены интерфейсами, которые подключаются либо во время установки, либо пользователем с помощью команды snap connect . Например, домашний интерфейс предоставит права на чтение в доме пользователя.

Строгое ограничение дает вам следующие доступные для чтения и / или записи пути:

  • / snap / snapname / revision (только для чтения, путь мгновенной установки)
  • / var / snap / snapname / revision (чтение / запись, данные для каждой ревизии)
  • / var / snap / snapname / common (чтение / запись, общие данные)
  • / home / $ USER / snap / snapname / revision (чтение / запись, пользовательские данные для каждой ревизии)
  • / home / $ USER / snap / snapname / common (чтение / запись, общие пользовательские данные)

См. список переменных среды для более подробной информации о том, что видно для строго ограниченной привязки, а также способы доступа к оболочке в ограниченном пространстве привязки.

devmode

Режим разработчика, также известный как devmode, использует те же политики безопасности, что и строгое ограничение, но отказы безопасности превращаются в предупреждения в /var/log/syslog (см. Отладка ). Это полезно при привязке приложения, чтобы узнать, какие интерфейсы необходимо объявить. Моментальные снимки в режиме разработчика не могут быть переданы в стабильные и потенциальные хранилища каналов .

classic

Привязка в классическом ограничении ведет себя как традиционно упакованное приложение с полным доступом к системе. В противоположность строгому и devmode, то, что классическая оснастка видит как «/», это «/» хост-системы, а не «/» основной оснастки. Моментальные снимки, использующие эту полностью открытую политику безопасности, проверяются вручную в магазине и разрешены только в системах, где Snapd установлен поверх традиционного дистрибутива Linux , в отличие от загрузки системы из Ubuntu Core [ 119] изображение. Они могут быть выпущены во всех магазинах каналов .

9
ответ дан 23 November 2019 в 03:43

Другие вопросы по тегам:

Похожие вопросы: