中的 snap to sandbox 程序使用了什么技术Strict confinement?
它提供了多少隔离?
它是否利用了chroot、apparmor等?
答案1
就像声明的那样这里:
严格限制使用 Linux 内核的安全功能,包括 AppArmor、seccomp 和命名空间,来阻止应用程序和服务访问更广泛的系统。
如果 snapStrict confinement想要访问其他系统资源(如网络和摄像头),则应使用Interfaces。如上所述这里:
当 snap 需要访问自身范围之外的资源时,它会使用接口。接口使一个 snap 中的资源可以与另一个 snap 共享。
接口通常用于使 snap 能够访问 OpenGL 加速、声音播放或录制、网络和 $HOME 目录。但是 snap 需要和提供哪些接口在很大程度上取决于 snap 的类型及其自身要求。
要查看 snap 程序正在使用哪些接口,请键入
snap connections "snapname"
如果您(实际上是我)想要在非严格(经典)限制下安装和使用软件包,则应--classic在snap install命令中添加选项,并且如果存在该软件包的经典版本,则应安装它。