Snap程序的运行环境

Question

在Strict confinement中，snap用于沙箱程序的技术是什么？

它能提供多少隔离？

它是否利用了chroot、apparmor等？

Answer 1

正如所述，这里：

严格限制使用Linux内核的安全特性，包括AppArmor、seccomp和名称空间，以防止应用程序和服务访问更广泛的系统。

如果一个与Strict confinement的快照想要访问其他系统资源，如网络和相机，它应该使用Interfaces。正如所述，这里：

当snap需要访问其自身限制之外的资源时，它将使用一个接口。接口使来自一个快照的资源能够与另一个快照共享。接口通常用于启用OpenGL加速、声音回放或录音、网络和$HOME目录。但是，snap所需和提供的接口在很大程度上取决于snap的类型及其自身的需求。若要查看快照使用的是哪些接口，请键入snap connections "snapname"

如果您(实际上我)希望在非严格(经典)限制下安装和使用包，则应将选项--classic添加到snap install命令中，如果存在该包的经典版本，则应安装该选项。