V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
61162833
V2EX  ›  问与答

Flatpak 无法限制应用访问硬盘

  •  
  •   61162833 · 47 天前 · 530 次点击
    这是一个创建于 47 天前的主题,其中的信息可能已经有所发展或是发生改变。
    系统 Debian ,安装测试应用 org.chromium.Chromium 并去除所有权限:
    $ flatpak info --show-permissions org.chromium.Chromium
    [Context]
    shared=network;ipc;
    sockets=x11;wayland;
    filesystems=

    [Environment]
    LD_LIBRARY_PATH=

    启用应用:
    $ flatpak run org.chromium.Chromium
    在 URL 地址栏输入 / 回车,可以随意浏览、下载系统任何文件

    当然不仅是这个应用,其他任何应用也是一样,似乎 flatpak 没有能力限制应用访问硬盘。

    跟 chatgpt 较了半天劲,得到的都是无效答案,例如指定目录启动应用:
    $ flatpak run --filesystem=/tmp org.chromium.Chromium
    这样仍然可以随意访问硬盘任何文件。

    用 snap 测试同样的应用,可以正常限制硬盘访问

    是我打开的方式不对还是?
    2 条回复
    61162833
        1
    61162833  
    OP
       47 天前
    Flatpak 不是沙盒
    https://www.reddit.com/r/flatpak/comments/z7nq84/flatpak_is_not_a_sandbox/

    Flatpak 似乎不能限制 X11 应用读取文件系统

    如果这样,--filesystem 参数默认指定的可读取位置有什么意义?(因为可以随意访问任意位置)
    61162833
        2
    61162833  
    OP
       47 天前
    “将 flatpak 宣传为沙盒应用程序,而它根本没有提供真正的安全沙盒来抵御现实威胁,这对 Linux 桌面安全毫无帮助。它确实提供了一种虚假的安全感,阻碍了沙盒应用程序的真正进步。”

    这是上面那篇文章里说的,

    各位用 flatpak 的大佬有测过的吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1526 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 16:53 · PVG 00:53 · LAX 08:53 · JFK 11:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.