系统 Debian ,安装测试应用 org.chromium.Chromium 并去除所有权限:
$ flatpak info --show-permissions org.chromium.Chromium
[Context]
shared=network;ipc;
sockets=x11;wayland;
filesystems=
[Environment]
LD_LIBRARY_PATH=
启用应用:
$ flatpak run org.chromium.Chromium
在 URL 地址栏输入 / 回车,可以随意浏览、下载系统任何文件
当然不仅是这个应用,其他任何应用也是一样,似乎 flatpak 没有能力限制应用访问硬盘。
跟 chatgpt 较了半天劲,得到的都是无效答案,例如指定目录启动应用:
$ flatpak run --filesystem=/tmp org.chromium.Chromium
这样仍然可以随意访问硬盘任何文件。
用 snap 测试同样的应用,可以正常限制硬盘访问
是我打开的方式不对还是?
$ flatpak info --show-permissions org.chromium.Chromium
[Context]
shared=network;ipc;
sockets=x11;wayland;
filesystems=
[Environment]
LD_LIBRARY_PATH=
启用应用:
$ flatpak run org.chromium.Chromium
在 URL 地址栏输入 / 回车,可以随意浏览、下载系统任何文件
当然不仅是这个应用,其他任何应用也是一样,似乎 flatpak 没有能力限制应用访问硬盘。
跟 chatgpt 较了半天劲,得到的都是无效答案,例如指定目录启动应用:
$ flatpak run --filesystem=/tmp org.chromium.Chromium
这样仍然可以随意访问硬盘任何文件。
用 snap 测试同样的应用,可以正常限制硬盘访问
是我打开的方式不对还是?
2 条回复
 |
1
61162833 OP Flatpak 不是沙盒
https://www.reddit.com/r/flatpak/comments/z7nq84/flatpak_is_not_a_sandbox/ Flatpak 似乎不能限制 X11 应用读取文件系统 如果这样,--filesystem 参数默认指定的可读取位置有什么意义?(因为可以随意访问任意位置) |
|
2
61162833 OP “将 flatpak 宣传为沙盒应用程序,而它根本没有提供真正的安全沙盒来抵御现实威胁,这对 Linux 桌面安全毫无帮助。它确实提供了一种虚假的安全感,阻碍了沙盒应用程序的真正进步。”
这是上面那篇文章里说的, 各位用 flatpak 的大佬有测过的吗? |
Select Language