Snap
Snap 是一个软件部署和包管理系统。这些软件包称为“snap”,而用于管理它们的工具是“snapd”,它可以在多种 Linux 发行版上运行,因此允许进行与发行版无关的上游软件部署。Snap 的开发者 Canonical 公司通过 Snap Store 服务进行 snap 的部署管理。
snapd 是一个用于管理 snap 包的 REST API 守护进程。用户可以通过使用 snap 客户端与其交互,该客户端包含在同一个包中。
Snap 可以使用 AppArmor 进行隔离,AppArmor 现在已在默认内核中启用。请查阅相关的 wiki 页面,了解在您的系统上启用 AppArmor 的步骤。
- 如果您的系统未启用 AppArmor,则所有 snap 都将在 devel 模式下运行,这意味着它们将拥有与从 Arch Linux 仓库安装的应用程序相同的无限制系统访问权限。
- 运行不受信任的代码永远是不安全的,沙盒化无法改变这一点。
安装
snapd 会在 /etc/profile.d/snapd.sh 中安装一个脚本,用于导出通过 snapd 包安装的二进制文件和桌面条目的路径。请重启一次以使此更改生效。snapd 支持 AppArmor 安全模型,前提是您的系统已启用 AppArmor。如需安装,请按照 AppArmor#Installation 操作。
如果您正在使用 AppArmor,请 启用 并 启动 apparmor.service 和 snapd.apparmor.service。
配置
为了在 snap 尝试使用 snapd 守护进程时启动它,请 启用/启动 snapd.socket。
用法
snap 工具用于管理 snap。
查找
要查找要安装的 snap,您可以使用以下命令查询 Ubuntu Store:
$ snap find searchterm
安装
找到您要查找的 snap 后,您可以使用以下命令安装它:
# snap install snapname
这需要 root 权限。目前尚不支持按用户安装 snap。这将把 snap 下载到 /var/lib/snapd/snaps 并将其挂载到 /var/lib/snapd/snap/snapname,使其可供系统使用。
它还会为每个 snap 创建挂载单元,并将它们作为符号链接添加到 /etc/systemd/system/multi-user.target.wants/ 中,以便在系统启动时使所有 snap 可用。完成后,您可以使用以下命令在已安装的 snap 列表中找到它,并显示其版本号、修订号和开发者:
$ snap list
您还可以使用以下命令从本地硬盘加载 snap:
# snap install --dangerous /path/to/snap
更新
要手动更新您的 snap,请使用:
# snap refresh
Snap 会根据 snap 的 refresh.timer 设置自动刷新。
要查看下次/上次刷新时间,请使用:
# snap refresh --time
要设置不同的刷新时间,例如每天两次:
# snap set core refresh.timer=0:00~24:00/2
有关自定义刷新时间的详细信息,请参阅 系统选项文档页面。
移除
可以通过执行以下命令卸载 snap:
# snap remove snapname
技巧与提示
经典 Snap
某些 snap(例如 Julia 和 Pycharm)使用经典隔离。然而,经典隔离需要 /snap 目录,这不符合 FHS 标准。snapd 包不提供此目录,但用户可以手动创建 /var/lib/snapd/snap 和 /snap 之间的符号链接,以允许安装经典 snap。
# ln -s /var/lib/snapd/snap /snap
隔离
在使用 AppArmor 时,snapd 将生成与 Ubuntu 上相同的 snap 配置文件。 AppArmor 解析器足够智能,可以忽略主线内核尚不支持的规则。
要验证基本隔离是否正常工作,请安装 hello-world snap。然后运行以下命令:
$ hello-world.evil
Hello Evil World! This example demonstrates the app confinement You should see a permission denied error next /snap/hello-world/27/bin/evil: 9: /snap/hello-world/27/bin/evil: cannot create /var/tmp/myevil.txt: Permission denied
拒绝是由 AppArmor 引起的,并且应该已经记录下来。
# dmesg
... [ +0.000003] audit: type=1327 audit(1540469583.966:257): proctitle=2F62696E2F7368002F736E61702F68656C6C6F2D776F726C642F32372F62696E2F6576696C [ +12.268939] audit: type=1400 audit(1540469596.236:258): apparmor="DENIED" operation="open" profile="snap.hello-world.evil" name="/var/tmp/myevil.txt" pid=10835 comm="evil" requested_mask="wc" denied_mask="wc" fsuid=1000 ouid=1000 [ +0.000006] audit: type=1300 audit(1540469596.236:258): arch=c000003e syscall=2 success=no exit=-13 a0=55d991ba6bc8 a1=241 a2=1b6 a3=55d991ba6be0 items=0 ppid=31349 pid=10835 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts2 ses=3 comm="evil" exe="/bin/dash" subj==snap.hello-world.evil (enforce) ...
如果您没有看到拒绝信息,请验证配置文件是否已加载:
# aa-status | grep snap.hello-world
snap.hello-world.env snap.hello-world.evil snap.hello-world.hello-world snap.hello-world.sh
此外,您还可以根据 snapd 检查系统中可用的沙盒功能:
$ snap debug sandbox-features
apparmor: kernel:caps kernel:domain kernel:file kernel:mount kernel:namespaces kernel:network_v8 kernel:policy kernel:ptrace kernel:query kernel:rlimit kernel:signal parser:unsafe policy:default support-level:partial confinement-options: devmode dbus: mediated-bus-access kmod: mediated-modprobe mount: freezer-cgroup-v1 layouts mount-namespace per-snap-persistency per-snap-profiles per-snap-updates per-snap-user-profiles stale-base-invalidation seccomp: bpf-argument-filtering kernel:allow kernel:errno kernel:kill_process kernel:kill_thread kernel:log kernel:trace kernel:trap
隐藏 Snap 文件夹
请参阅 XDG Base Directory#Hiding unwanted directories 以隐藏 snap 文件夹。
Sudo
由于 secure_path 默认在 sudo 中启用,因此 /var/lib/snapd/snap/bin 目录不再存在于 sudo 启动的进程的默认 $PATH 环境变量中。像 sudo lxc list 这样的命令将失败,因为 shell 进程无法再找到 lxc 符号链接。
可以通过在 /etc/sudoers.d/90_snap 中添加以下片段来为每个用户解决此问题:
# Add snap binaries installation dir to PATH Defaults:<your-user-name> secure_path="/usr/local/sbin:/usr/local/bin:/usr/bin:/var/lib/snapd/snap/bin"
其中 <your-user-name> 必须替换为您所需的 $USER。
故障排除
文本不可读
如果您看到的不是可读字符而是方块,则需要清除字体缓存:
# rm -f /var/cache/fontconfig/* $ rm -f ~/.cache/fontconfig/* # fc-cache -r -v
Snapctl 还为每个单独的 snap 存储内部缓存,这些缓存需要单独清除。首先,运行以下命令查找它们:
$ find ~/snap/ -wholename '*/.cache/fontconfig'
... /home/darth_vader/snap/mailspring/common/.cache/fontconfig ... /home/darth_vader/snap/authy/common/.cache/fontconfig ... /home/darth_vader/snap/icedrive/common/.cache/fontconfig ... /home/darth_vader/snap/discord/common/.cache/fontconfig ... /home/darth_vader/snap/bitwarden/common/.cache/fontconfig
然后,可以单独删除它们,或者使用这个简单的循环。
最后,重启您的会话。
错误:无法挂载 squashfs
Snap 包使用 SquashFS 文件系统。如果遇到类似以下内容的错误:
error: system does not fully support snapd: cannot mount squashfs image using "squashfs"
您可以通过运行以下命令来验证 SquashFS 内核模块是否已加载:
$ lsmod
Module Size Used by squashfs xxxxx x ...
错误:/user.slice/user-1000.slice/session-1.scope 不是 snap cgroup
您需要像这样设置您的 DBUS_SESSION_BUS_ADDRESS 环境变量:
export DBUS_SESSION_BUS_ADDRESS="unix:path=$XDG_RUNTIME_DIR/bus"
为了使此更改永久生效,并在您的 GUI 会话中可用,请考虑将此行添加到您的 ~/.xprofile 文件中。
有关此问题的更多信息和完整讨论,请在此处阅读。
图形化管理
Gnome Software Center 和 KDE Discover 都提供原生的 snap 支持。对于 KDE Discover,请安装 discover-snapAUR 包。
可以通过 snap 安装 Snap Store:
# snap install snap-store
支持
与 Arch Linux 相关的邮件列表和其他官方 Arch Linux 支持渠道不适合寻求 Arch Linux snap 的帮助。一个合适的求助地点是 Snapcraft 论坛。
参见
- 官方网站
- GitHub 仓库
- ArsTechnica 文章 (2016-06) 关于 Ubuntu snap 即将在 Arch 和其他发行版上可用。