Quel est le mode de capture classique et pourquoi certaines captures ne s'installent pas sans elle (par exemple, MS Visual Studio)?
J'ai essayé d'installer MS Visual Studio Code en tant que composant logiciel enfichable sur Ubuntu 16.04 avec la commande suivante:
Sudo snap install vscode
mais j'ai l'erreur suivante:
error: This revision of snap "vscode" was published using classic confinement and thus may perform
arbitrary system changes outside of the security sandbox that snaps are usually confined to,
which put your system at risk.
If you understand and want to proceed repeat the command including --classic.
J'aimerais savoir ce que fait --classic (et pas seulement manexplication de page) et pourquoi ai-je eu l'erreur précédente lors de l'installation de Visual Studio Code.
Regardez cette courte vidéo qui explique chacun des modèles de confinement disponibles dans les instantanés, pourquoi --classic existe et constitue son cas d'utilisation.
Sources : La documentation suivante est extraite de snapcraft.io: politiques de confinement .
strict
C'est la politique de sécurité par défaut appliquée aux instantanés. Le composant logiciel enfichable a des droits en lecture et/ou en écriture uniquement dans son propre espace d'installation et dans certaines zones. Il a accès aux bibliothèques qu’il regroupe et/ou qui sont fournies par le composant logiciel enfichable noyau ou ubuntu-core. Les droits étendus peuvent être accordés avec des interfaces connectées au moment de l'installation ou par l'utilisateur à l'aide de la commande snap connect . Par exemple, l’interface home accordera des droits de lecture au domicile de l’utilisateur.
Le confinement strict vous donne les chemins lisibles et/ou inscriptibles suivants:
- / snap/snapname/revision (en lecture seule, chemin d'installation instantané)
- / var/snap/snapname/revision (lecture/écriture, données par révision)
- / var/snap/snapname/common (lecture/écriture, données communes)
- / home/$ USER/snap/snapname/revision (lecture/écriture, données utilisateur par révision)
- / home/$ USER/snap/snapname/common (lecture/écriture, données utilisateur communes)
Reportez-vous à la liste des variables d’environnement pour plus de détails sur ce qui est visible pour un snap strictement confiné, ainsi que sur les moyens d’accéder à un shell dans l’espace confiné d’un snap.
devmode
Le mode développeur, également appelé devmode, utilise les mêmes règles de sécurité que le confinement strict, mais les refus de sécurité sont transformés en avertissements dans /var/log/syslog (voir débogage ). Ceci est utile lors de la capture d'une application pour déterminer quelles interfaces doivent être déclarées. Les captures en mode développeur ne peuvent pas être publiées dans les magasins stable et candidat channels .
classique
Un cliché de confinement classique se comporte comme une application empaquetée de manière traditionnelle, avec un accès complet au système. Contrairement à strict et devmode, ce qu’un composant logiciel enfichable classique considère comme un "/" est le "/" du système hôte et non pas le "/" du composant logiciel enfichable principal. Les clichés utilisant cette stratégie de sécurité entièrement ouverte sont examinés manuellement dans le magasin et ne sont autorisés que sur les systèmes où snapd est installé au-dessus d'une distribution Linux traditionnelle , par opposition au système démarrant à partir d'un buntu Core image. Ils peuvent être libérés dans tous les magasins canaux .