我正准备在一台由 Ubuntu 18.04 LTS Desktop 驱动的笔记本电脑上安装 Skype。软件安装助手亲切地告诉我 Skype
是无限制的。它可以访问您所有的个人文件和系统资源
根据下面的屏幕截图。
显然,必须有理由与不需要此警告的应用程序区分开来。
除了单纯的回答,指出有趣的读物也很受欢迎。
snap的理念是成为一个“Linux 应用商店”,与其他平台(如 iOS 或 Android)的应用商店具有许多相同的好处。最大的优势之一是应用程序相当受限,除非用户授予特定权限,否则无法与您的操作系统交互。
在 snap 中,有几种不同的“限制”设置,如此处所述:
严格的
大多数快照使用。严格限制的快照在完全隔离的情况下运行,最高可达被认为始终安全的最低访问级别。因此,严格限制的快照无法访问您的文件、网络、进程或任何其他系统资源,除非通过接口请求特定访问(见下文)。
经典的
允许以与传统软件包大致相同的方式访问系统资源。为了防止滥用,发布经典快照需要手动批准,安装需要
--classic命令行参数。开发模式
快照创建者和开发人员的特殊模式。devmode snap 作为严格限制的 snap 运行,具有对系统资源的完全访问权限,并生成调试输出以识别未指定的接口。安装需要
--devmode命令行参数。开发模式快照无法发布到稳定频道,不会出现在搜索结果中,也不会自动刷新。
Skype 应用程序很可能是“经典”快照,这意味着您不会获得与严格限制相同的好处。
Skype 的功能与任何其他传统二进制文件一样多,例如通过apt. 它通常不会成为“某种超级用户”,但它可以使用sudo或其他方式要求成为特权进程。最简单的方法是简单地拒绝以 root 身份运行。
但是,Skype 不能神奇地绕过任何文件权限,除非您专门提供了二进制功能来这样做。
想想智能手机上的应用程序。应用程序必须要求访问您的文件、联系人、麦克风、相机、位置等。
Snap 的严格限制设置确实允许应用程序访问这些接口,但个别应用程序需要请求访问这些接口。当然,您作为用户可以禁止应用程序访问它们。也许您不希望应用程序访问网络,因为您不想使用启用网络的功能。
安装程序告诉您的是,由于 Skype 是一个“经典”快照,您无法阻止 Skype 访问所有这些资源(网络、摄像头等),至少不是以简单的方式。
如果您愿意,您可以尝试自己创建一个严格限制的快照。我认为这将是一项即使不是不可能也很困难的任务,否则微软已经做到了。或者也许它超级简单,几乎没有不便,而微软根本不在乎。
您还可以创建受限用户并将系统配置为以该用户身份运行应用程序,然后限制该受限用户访问网络、网络摄像头等资源。
就像这部漫画:
通常,在您的帐户下运行的任何程序都可以访问您的帐户可以访问的任何资源。
无论对文件和目录设置的权限如何,Skype 真的可以扫描我的主目录中的任何内容吗?它会变成某种超级用户吗?
正如MechMK1 的回答中所述,不,它不会比你更有特权。但是,即使您chmod将一个文件设为 0,只要您仍然拥有该文件,任何程序(在您的用户 ID 下运行)都可以chmod 将其恢复到更宽松的访问模式。
一般来说,如果它像你一样在你的系统上运行,它可以做任何恶意软件可以做的事情。例如,它可以
.bashrc、或类似文件以启动它(或其中的一个组件)。.bash_profile一个普通的“高级用户”怎么可能限制这样一个不受限制的应用程序?
如果您偏执地认为 Skype(或任何其他程序)是恶意软件,但无论如何您都想运行它,那么您可以采取一些措施来保护自己(和您的数据)。按(大致)安全性递减顺序:
sudoor su,或通过在另一个虚拟终端中以其他用户身份登录)。
以上都不能保证。
回到这个:
它会变成某种超级用户吗?
为了完整起见,程序(可以不受限制地运行)可以通过通常的方式获得特权:
sudo或su希望您输入密码。(建议:不要那样做!)sudo或su尝试猜测密码。sudo
并希望您在过去五分钟内使用sudo过,因此您的凭据仍会被缓存(请参阅Sudoers 手册)。等等。上面讨论的限制程序可以减轻其中一些攻击。