Flatpak 无法限制应用访问硬盘

47 天前
 61162833
系统 Debian ,安装测试应用 org.chromium.Chromium 并去除所有权限:
$ flatpak info --show-permissions org.chromium.Chromium
[Context]
shared=network;ipc;
sockets=x11;wayland;
filesystems=

[Environment]
LD_LIBRARY_PATH=

启用应用:
$ flatpak run org.chromium.Chromium
在 URL 地址栏输入 / 回车,可以随意浏览、下载系统任何文件

当然不仅是这个应用,其他任何应用也是一样,似乎 flatpak 没有能力限制应用访问硬盘。

跟 chatgpt 较了半天劲,得到的都是无效答案,例如指定目录启动应用:
$ flatpak run --filesystem=/tmp org.chromium.Chromium
这样仍然可以随意访问硬盘任何文件。

用 snap 测试同样的应用,可以正常限制硬盘访问

是我打开的方式不对还是?
531 次点击
所在节点    问与答
2 条回复
61162833
47 天前
Flatpak 不是沙盒
https://www.reddit.com/r/flatpak/comments/z7nq84/flatpak_is_not_a_sandbox/

Flatpak 似乎不能限制 X11 应用读取文件系统

如果这样,--filesystem 参数默认指定的可读取位置有什么意义?(因为可以随意访问任意位置)
61162833
47 天前
“将 flatpak 宣传为沙盒应用程序,而它根本没有提供真正的安全沙盒来抵御现实威胁,这对 Linux 桌面安全毫无帮助。它确实提供了一种虚假的安全感,阻碍了沙盒应用程序的真正进步。”

这是上面那篇文章里说的,

各位用 flatpak 的大佬有测过的吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1086520

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX