Проблема с Opera из snap

Симлинки с разделов ntfs в домашнюю директорию?

Симлинки не помогут. Нужен mount --bind.

Неа, в домашке Загрузки именно симлинком

Можно поподробней плз?

sudo mount --bind /ntfs-disk/Users/user/Загрузки /home/user/Загрузки

Если на постоянной основе, то в /etc/fstab занести придется.

Да, и если поможет, то вписать в /etc/fstab:

/ntfs-disk/Users/user/Загрузки     /home/user/Загрузки    none    bind   0 0

И перед этим нужно удалить симлинк и создать обычную директорию для точки монтирования.

Спс, попробую. Хотя имхо это костыль какой то и нагромождение :-( Хотя вообще вычитала что там с этими снапами есть некие plug и slot и вроде как можно как-то подключить что-то к чему-то. Типа дать разрешение снап-пакету работать с сетью, иксами, upower-ом етц. Ну и вроде как можно в том числе и к смонтированным разделам просто дать доступ

Все-таки нашелся безкостыльный способ:-) Странно что нигде до этого не попадалось sudo snap install --devmode opera

Выгуглилось, что типа snap небезопасен и сие сделано из боязни за меня по дефолту.

А как же тогда другие snap'ы? Или только opera?

я пока ток с двумя сталкивалась - хромиум и опера. Оба вели себя вот так. С vlc судя по тому что пишут - та же фигня, его вроде как рекомендуют ставить с опцией sudo snap install --classic vlc иначе тоже к общему с виндой разделу доступа нет. Опера и хром в режиме --classic ставиться не захотели, написало что режим проигнорирован. --devmode в обоих случаях прокатил, мне лично хватит и этого Осталась еще кое-что - поверх в таком режиме ставить низя, надо сначала удалять, потом ставить заново. И вылезла еще небольшая трабла: если сначала удалить, а потом установить снова, snap оказался забывчивым - он забыл все настройки. Интересно, снапы можно как то удалять с сохранением настроек?

И да, если ты о «безопсаности» то все. Снап суть «пакет в себе», мейнтейнер дистрибутива не может отслеживать что туда насовал автор. Посему логично в принципе, что такому пакету ограничивается по умолчанию возможность нагадить где-то кроме домашки и решение о его установке с расширенными правами должен принимать лично ты на свой страх и риск. Просто могли бы эти опции как-то поподробнее описать, а то квест прямо какой-то. Я кучу ссылок перелопатила, прежде чем на этот --devmode наткнулась

Это не «безкостыльный способ», это действительно опасно, т.к. отключает всякую изоляцию.

На счет оперы не знаю, она не создает каталог ~/.config/opera? Тогда наверное можно вытянуть этот каталог из самого snap'a. На счет безопасности, вот например powershell из снапа, т.е. спокойно попадаешь туда, куда и не следовало бы, ставилась с ключом --classic. Подхватывает настройки из хомяка (типа как .bashrc для /bin/bash).

В целом как общий подход я согласна, но в частности нет. Мне пофиг на мифические «опасности», которые могут от браузера исходить, по такой логике я всю жизнь подвергаюсь «опасности», пока у меня deb-версия ее стоит - она же может везде лазать. Ставить абы что таким образом я не собираюсь, я вообще не собираюсь ничем без острой на то необходимости из снапа пользоваться, так что мне та «безопасность» по барабану. Если бубунта начнет активно перекидывать в снап нужный мне софт (а такие опасения есть, уж больно канониклы за снап топят), она просто пойдет на свалку вместе с Космонаффтом вот и все. А пока браузер из этой помойки я еще как-нить переживу.

неа, там прямо в хомяке каталог snap создается, в котором конфиги нифига не в той же форме что у дебовской версии в ~/.config/opera У меня щас пока обе версии стоят - хорошо видно разницу.

Snap же AppArmor использует? Политики должны где-то настраиваться

Браузер — самое опасное приложение на десктопе.

она же может везде лазать.

SELinux выключен? AppArmor выключен? ССЗБ.

мне та «безопасность» по барабану

Ну, тогда все правильно.

Здесь другая логика обеспечения безопасности. Весь софт в репах нормальных систем (rhel, sles) идет вместе с контекстом безопасности. После установки чего-то левого напрямую в систему, надо писать контекст безопасности для него ручками, а это муторо. В этом случае иногда проще загнать такой софт в контейнер, а еще проще — в виде контейнера и распросторнять (flatpak, snap).

Но раз МАС выключен, то никакой безопасности не существует ни для софта из реп, ни для snap пакетов.

Зы. ntfs-3g — тоже дыра в безопасности, кстати.

Не выключены, кстати если AppArmor вырубить - снапсофт ваще не запускается. З.Ы. Презерватив на коннектор спасет от ужасно опасной оперы, особенно той невероятно опасной snap-версии, которой я дала права (о ужас!) лазать по смонтированной файлопомойке.

Именно, понять бы еще где - не стала бы ставить в девмод режиме. Объяснить как это сделать - намного же сложней, чем читать мне лекции по безопасности (это к комментатору ниже) в стиле «кто под рутом работает тот лох». Я все ждала кто мне будет жевать банальности про то, что «браузер - самая опасная софтина», дождалась наконец то.

посмотри тут: https://docs.ubuntu.com/core/en/guides/intro/security

спс, суть как это сделать (сам принцип) понятна. Непонятно какой из этих интерфейсов отвечает за доступ к смонтированным дискам, что именно надо разрешить чтоб он был. Интуитивно понять не могу, :mount-observe не помогает

Может, тебе исходники firejail помогут? Firejail использует apparmor, и в конфигурялке есть опция отключения доступа к монтируемым накопителям

Толку то пользователю от этих слотов?

В готовый snap их просто не прибавишь. Это разве что самому snap официальный растеребонивать, самому собирать новый, самому ставить. При каждом апдейте 😀

Я так понимаю, что снап-пакет просто дёргает функции apparmor по политике, которую разрабы кладут в снап-пакет. Тогда наверное придётся переделать снап-пакет и поправить политику.

Если снап-пакет при запуске куда-то распаковывается или монтируется, можно написать скрипт, который будет подменять политику, что в снап-пакете лежит

Вообще странно что нет штатных инструментов для таких вещей

переделать снап-пакет

С каждым апдейтом раз в две недели (примерно)...

Боже упаси, я пользователь, ну мб слегка более продвинутая чем совсем чайник, что я с этими исходниками делать то буду

Вообще странно что нет штатных инструментов для таких вещей

по слухам есть, но не в кубунте, а где то в богомерзком Ubuntu software senter, и то вроде не все что хочется

Да, но и в Snap Store вроде тоже должно быть гуеёвое управление разрешениями

https://snapcraft.io/snap-store

Но разрешения, это же типа, как в Android Приложениях. Если нет у приложения разрешения на отправку СМС, то самому приписывать – такого не предусмотрено.

PS: Chromium кстате имеет прописанное разрешение по доступу к всяким там флешкам/дискам, а Opera - нет.

PS: Chromium кстате имеет прописанное разрешение по доступу к >>всяким там флешкам/дискам, а Opera - нет.

Все равно надо будет глянуть, можно будет попытаться запузырить по аналогии. Я ж говорю - просто понять не могу что именно надо разрешить, чтоб доступ был. И кстати странно, у меня хромиум из снапа точно так же отказался сохранять файло в нтфсный каталог - прав типа нету

Chromium кстате имеет прописанное разрешение по доступу к всяким там флешкам/дискам, а Opera - нет

Наверное потому что Хромиум опенсорсный, и доверия ему больше.

Eva Berger? Oo

у меня хромиум из снапа точно так же отказался сохранять файло в нтфсный каталог - прав типа нету

точно также(Когда будет готов Snap? посоветовали читать man snap), я так, Дебиан поставил, доигрались Убунту)) вообще могли бы уже создать гуивую утилиту с галочками и списком установленных программ где щелкаеш галочками и даеш либо отбираеш доступ к сети/диску…(вроде где то уже читал такое)

хотя будущее наверняка за снапами ну или флэтпаками