J'ai essayé d'installer MS Visual Studio Code en tant que composant logiciel enfichable sur Ubuntu 16.04 avec la commande suivante:
Sudo snap install vscode
mais j'ai l'erreur suivante:
error: This revision of snap "vscode" was published using classic confinement and thus may perform
arbitrary system changes outside of the security sandbox that snaps are usually confined to,
which put your system at risk.
If you understand and want to proceed repeat the command including --classic.
J'aimerais savoir ce que fait --classic
(et pas seulement man
explication de page) et pourquoi ai-je eu l'erreur précédente lors de l'installation de Visual Studio Code.
Regardez cette courte vidéo qui explique chacun des modèles de confinement disponibles dans les instantanés, pourquoi --classic
existe et constitue son cas d'utilisation.
Sources : La documentation suivante est extraite de snapcraft.io: politiques de confinement .
C'est la politique de sécurité par défaut appliquée aux instantanés. Le composant logiciel enfichable a des droits en lecture et/ou en écriture uniquement dans son propre espace d'installation et dans certaines zones. Il a accès aux bibliothèques qu’il regroupe et/ou qui sont fournies par le composant logiciel enfichable noyau ou ubuntu-core. Les droits étendus peuvent être accordés avec des interfaces connectées au moment de l'installation ou par l'utilisateur à l'aide de la commande snap connect . Par exemple, l’interface home accordera des droits de lecture au domicile de l’utilisateur.
Le confinement strict vous donne les chemins lisibles et/ou inscriptibles suivants:
Reportez-vous à la liste des variables d’environnement pour plus de détails sur ce qui est visible pour un snap strictement confiné, ainsi que sur les moyens d’accéder à un shell dans l’espace confiné d’un snap.
Le mode développeur, également appelé devmode, utilise les mêmes règles de sécurité que le confinement strict, mais les refus de sécurité sont transformés en avertissements dans /var/log/syslog
(voir débogage ). Ceci est utile lors de la capture d'une application pour déterminer quelles interfaces doivent être déclarées. Les captures en mode développeur ne peuvent pas être publiées dans les magasins stable et candidat channels .
Un cliché de confinement classique se comporte comme une application empaquetée de manière traditionnelle, avec un accès complet au système. Contrairement à strict et devmode, ce qu’un composant logiciel enfichable classique considère comme un "/" est le "/" du système hôte et non pas le "/" du composant logiciel enfichable principal. Les clichés utilisant cette stratégie de sécurité entièrement ouverte sont examinés manuellement dans le magasin et ne sont autorisés que sur les systèmes où snapd est installé au-dessus d'une distribution Linux traditionnelle , par opposition au système démarrant à partir d'un buntu Core image. Ils peuvent être libérés dans tous les magasins canaux .