Snap
Snap 是一个软件部署和包管理系统。软件包称为“snap”,用于使用它们的工具是“snapd”,它适用于多种 Linux 发行版,因此允许进行发行无关的上游软件部署。Snap 的开发者 Canonical 公司通过 Snap Store 服务进行管理,snap 通过该服务进行部署。
snapd 是一个用于管理 snap 包的 REST API 守护进程。用户可以通过使用 snap 客户端与之交互,该客户端是同一软件包的一部分。
Snap 可以使用 AppArmor 进行隔离,AppArmor 已在默认内核中启用。请查阅相关的 wiki 页面,了解在您的系统中启用 AppArmor 的步骤。
- 如果您的系统中未启用 AppArmor,则所有 snap 都将以 devel 模式运行,这意味着它们将拥有与从 Arch Linux 仓库安装的应用程序相同的无限制系统访问权限。
- 运行不信任的代码永远不安全,沙箱无法改变这一点。
安装
snapd 在 /etc/profile.d/snapd.sh 中安装了一个脚本,用于导出通过 snapd 包安装的二进制文件和桌面条目的路径。重启一次以使此更改生效。snapd 支持 AppArmor 安全模型,前提是您的系统已启用 AppArmor,请按照 AppArmor#Installation 进行安装。
如果您正在使用 AppArmor,请 启用 并 启动 apparmor.service 和 snapd.apparmor.service。
配置
要让 snapd 守护进程在 snap 尝试使用它时启动,请 启用/启动 snapd.socket。
用法
snap 工具用于管理 snap。
查找
要查找要安装的 snap,您可以使用以下命令查询 Ubuntu 商店:
$ snap find searchterm
安装
找到您要查找的 snap 后,您可以使用以下命令进行安装:
# snap install snapname
这需要 root 权限。目前无法按用户安装 snap。这将把 snap 下载到 /var/lib/snapd/snaps 并将其挂载到 /var/lib/snapd/snap/snapname,以便系统可以使用它。
它还将为每个 snap 创建挂载单元,并将它们作为符号链接添加到 /etc/systemd/system/multi-user.target.wants/ 中,以便在系统启动时所有 snap 都可用。完成后,您可以使用以下命令查看已安装的 snap 列表,以及它们的版本号、修订版和开发者:
$ snap list
您还可以使用以下命令从本地硬盘侧载 snap:
# snap install --dangerous /path/to/snap
更新
要手动更新您的 snap,请使用:
# snap refresh
Snap 会根据 snap 的 refresh.timer 设置自动刷新。
要查看下一次/上一次刷新时间,请使用:
# snap refresh --time
要设置不同的刷新时间,例如每天两次:
# snap set core refresh.timer=0:00~24:00/2
有关自定义刷新时间的详细信息,请参阅 系统选项文档页面。
移除
可以通过执行以下命令来移除 snap:
# snap remove snapname
技巧与提示
经典 Snap
某些 snap(例如 Julia 和 Pycharm)使用经典隔离。然而,经典隔离需要 /snap 目录,该目录不符合 FHS 标准。snapd 包不提供此目录,但用户可以手动创建 /var/lib/snapd/snap 和 /snap 之间的符号链接,以允许安装经典 snap。
# ln -s /var/lib/snapd/snap /snap
隔离
在使用 AppArmor 时,snapd 将在 snap 上生成与 Ubuntu 上相同的配置文件。 AppArmor 解析器足够智能,可以忽略主线内核尚不支持的规则。
要验证基本隔离是否正常工作,请安装 hello-world snap。然后运行以下命令:
$ hello-world.evil
Hello Evil World! This example demonstrates the app confinement You should see a permission denied error next /snap/hello-world/27/bin/evil: 9: /snap/hello-world/27/bin/evil: cannot create /var/tmp/myevil.txt: Permission denied
此拒绝是由 AppArmor 引起的,并且应该已被记录。
# dmesg
... [ +0.000003] audit: type=1327 audit(1540469583.966:257): proctitle=2F62696E2F7368002F736E61702F68656C6C6F2D776F726C642F32372F62696E2F6576696C [ +12.268939] audit: type=1400 audit(1540469596.236:258): apparmor="DENIED" operation="open" profile="snap.hello-world.evil" name="/var/tmp/myevil.txt" pid=10835 comm="evil" requested_mask="wc" denied_mask="wc" fsuid=1000 ouid=1000 [ +0.000006] audit: type=1300 audit(1540469596.236:258): arch=c000003e syscall=2 success=no exit=-13 a0=55d991ba6bc8 a1=241 a2=1b6 a3=55d991ba6be0 items=0 ppid=31349 pid=10835 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts2 ses=3 comm="evil" exe="/bin/dash" subj==snap.hello-world.evil (enforce) ...
如果您没有看到拒绝,请验证配置文件是否已加载:
# aa-status | grep snap.hello-world
snap.hello-world.env snap.hello-world.evil snap.hello-world.hello-world snap.hello-world.sh
此外,您可以根据 snapd 检查系统中可用的沙箱功能:
$ snap debug sandbox-features
apparmor: kernel:caps kernel:domain kernel:file kernel:mount kernel:namespaces kernel:network_v8 kernel:policy kernel:ptrace kernel:query kernel:rlimit kernel:signal parser:unsafe policy:default support-level:partial confinement-options: devmode dbus: mediated-bus-access kmod: mediated-modprobe mount: freezer-cgroup-v1 layouts mount-namespace per-snap-persistency per-snap-profiles per-snap-updates per-snap-user-profiles stale-base-invalidation seccomp: bpf-argument-filtering kernel:allow kernel:errno kernel:kill_process kernel:kill_thread kernel:log kernel:trace kernel:trap
隐藏 Snap 文件夹
请参阅 XDG Base Directory#Hiding unwanted directories 来隐藏 snap 文件夹。
Sudo
由于 sudo 中默认启用了 secure_path,因此 /var/lib/snapd/snap/bin 目录不再存在于 sudo 启动的进程的默认 $PATH 环境变量中。诸如 sudo lxc list 之类的命令将失败,因为 shell 进程无法再找到 lxc 符号链接。
可以通过将以下代码片段添加到 /etc/sudoers.d/90_snap 来按用户解决此问题:
# Add snap binaries installation dir to PATH Defaults:<your-user-name> secure_path="/usr/local/sbin:/usr/local/bin:/usr/bin:/var/lib/snapd/snap/bin"
其中 <your-user-name> 必须替换为所需的 $USER。
故障排除
文本无法阅读
如果您看到方块而不是可读字符,您需要清除字体缓存:
# rm -f /var/cache/fontconfig/* $ rm -f ~/.cache/fontconfig/* # fc-cache -r -v
Snapctl 还为每个独立的 snap 存储内部缓存,这些缓存需要 单独清除。首先,通过运行以下命令找到它们:
$ find ~/snap/ -wholename '*/.cache/fontconfig'
... /home/darth_vader/snap/mailspring/common/.cache/fontconfig ... /home/darth_vader/snap/authy/common/.cache/fontconfig ... /home/darth_vader/snap/icedrive/common/.cache/fontconfig ... /home/darth_vader/snap/discord/common/.cache/fontconfig ... /home/darth_vader/snap/bitwarden/common/.cache/fontconfig
然后,逐个删除它们,或者使用 此简单循环。
最后,重启您的会话。
错误:无法挂载 squashfs
Snap 包使用 SquashFS 文件系统。如果出现类似以下内容的错误:
error: system does not fully support snapd: cannot mount squashfs image using "squashfs"
您可以通过以下命令验证 SquashFS 内核模块是否已加载:
$ lsmod
Module Size Used by squashfs xxxxx x ...
错误:/user.slice/user-1000.slice/session-1.scope 不是一个 snap cgroup
您需要像这样设置您的 DBUS_SESSION_BUS_ADDRESS 环境变量:
export DBUS_SESSION_BUS_ADDRESS="unix:path=$XDG_RUNTIME_DIR/bus"
为了使此更改永久生效,并使其在您的 GUI 会话中也可用,请考虑将此行添加到您的 ~/.xprofile 文件中。
有关此问题的更多信息和完整讨论,请 在此阅读。
图形化管理
Gnome 软件中心和 KDE Discover 都可以提供原生的 snap 支持。对于 KDE Discover,请安装 discover-snapAUR 软件包。
可以通过 snap 安装 Snap Store:
# snap install snap-store
支持
与 Arch Linux 相关的邮件列表和其他官方 Arch Linux 支持渠道不适合请求在 Arch Linux 上使用 snap 的帮助。寻求支持的合适场所是 Snapcraft 论坛。
参见
- 官方网站
- GitHub 仓库
- ArsTechnica 文章(2016 年 6 月)关于 Ubuntu snap 即将登陆 Arch 和其他发行版。