引言
snap和flatpak都是新一代跨Linux發行版的軟件包管理技術,這兩種下一代打包方法在本質上擁有相同的目標和特點:即不依賴於第三方系統功能庫的獨立包裝。上一篇我們簡單介紹了flatpak的原理,今天我們接着簡要介紹snap的安全機制。
一、簡介
snap是Canoncial公司提出的新一代linux包管理工具,致力於將所有linux發行版上的包格式統一,做到“一次打包,到處使用”。目前snap已經可以在包括Ubuntu、Fedora、Mint等多個Linux發行版上使用。首先我們來了解下snap相關的各種名詞:
snap
新一代跨Linux發行版的軟件包管理技術,支持各大主流Linux發行版,通過Linux內核安全機制保證用戶數據安全,徹底解決包依賴關系相關問題,並大大簡化應用軟件的打包工序。snap同時為安裝及管理snap包的命令行工具。
snapd
管理snap軟件包的后台服務。
kernel snap
使用snap格式打包的內核,包含內核鏡像及內核模塊。
OS snap
使用snap格式重新打包的rootfs,包含了運行和管理snap的基本資源,當你第一次安裝snap時,OS snap 首先被安裝。
snapcraft
將軟件打包成snap格式的打包工具集。
snappy
原指完全基於snap構建的系統,此名稱已棄用,現統一稱為Ubuntu Core,即Ubuntu的全snap操作系統,有別於傳統基於deb包的classic Ubuntu。
二、安全策略
snap應用以沙箱的方式運行。系統通過一些機制限制應用訪問資源的權限來實現其安全特性,比如通過對內核安全機制AppArmor,Seccomp等的配置實現的沙箱和snap文件系統等。開發者不必過多了解系統安全機制的細節。下面簡要說明snap使用的部分安全策略。
Sandbox
Linux Sandbox 是根據內核中支持的一些安全機制實現的進程訪問控制方式。通常通過為進程分配隨機uid,將進程置於chroot環境和為進程uid配置Capability等方式將進程置於嚴格受限的一種狀態下。snap應用使用這種方式運行在系統為其分配的沙箱環境中。
security policy ID
每一個snap應用程序命令都有唯一的security policy ID,系統將此ID與命令綁定,由此可以為同一snap包內的不同程序配置不同的安全策略。作為系統識別命令的標示,當程序安裝和運行時,系統會根據其Security Policy ID為其分配資源。在沙箱中運行的snap應用之間的通信控制也通過此ID來進行配置。
snap應用的security policy ID的命名規則為snap.name.command
例如,hello程序的security policy ID即為snap.hello.hello
snap文件系統
snap文件系統被划分為具有只讀和讀寫兩種不同權限的區域,每個snap應用有其獨有的受限文件目錄,如下圖所示:
可以通過如下方式查看某應用的文件訪問權限:
$ snap install hello
hello 2.10 from 'canonical' installed
$ snap run --shell hello.hello
$ env | grep SNAP
SNAP_USER_COMMON=/home/kylin/snap/hello/common
# 單用戶所有版本應用的可寫目錄
SNAP_LIBRARY_PATH=/var/lib/snapd/lib/gl:/var/lib/snapd/void
# 增加到LD_LABRARY_PATH的目錄
SNAP_COMMON=/var/snap/hello/common
# 所有用戶所有版本應用的可寫目錄
SNAP_USER_DATA=/home/kylin/snap/hello/20
# 單用戶指定版本應用的可寫目錄
SNAP_DATA=/var/snap/hello/20
# 所有用戶指定版本應用的可寫目錄
由此可見,一個snap應用具有寫權限的目錄是極其有限的,並且每個snap應用都有其獨立的可寫目錄。snap文件系統對snap應用相關目錄的權限配置說明,這種方式實現了應用與應用,應用與系統之間的隔離。
同時這種方式對snap應用的升級和回滾提供了很好的支持,升級時只需將確定版本的相關目錄復制到更高版本的對應目錄,而回退只需刪除更高版本的目錄。
AppArmor
AppArmor是一個強制訪問控制系統,在內核層面對進程可訪問的資源進行控制。 在snap應用程序安裝時,系統會為其中的每一個命令生成其特有的AppArmor配置文件。內核對可執行程序的Capability限制也可以通過Aparmor來配置。當執行應用程序中的命令時,AppArmor機制可保證此命令不會越權訪問。 作為一種內核中的安全機制,在ubuntu classic系統中也同時支持AppArmor提供的機制。但與classic系統不同,snap系統對程序的訪問控制更加嚴格,基本做到“只滿足程序執行所需的最小權限”。
Seccomp
Seccomp是一個內核接口訪問過濾器,snap應用程序通過其獨有的過濾器訪問內核接口。在snap應用程序啟動之前會自動配置過濾器。Seccomp在snap系統中的作用類似於AppArmor。都是控制應用程序對系統資源的訪問。
三、Snap接口調用
snap應用被嚴格限制在上面介紹的安全策略下,但snap應用之間也需要進行通信,比如硬件驅動作為一個snap應用肯定要為使用這個硬件的應用提供接口和服務。下面就簡單說明一下snap應用之間的通信機制。
默認安全策略
在沒有特殊配置時,snap應用使用默認的安全策略,其中包含之前提到的snap文件系統中的默認目錄訪問控制以及以下部分策略:
snap應用安裝目錄的只讀權限。
共享內存的讀寫權限(ie. /dev/shm/snap.SNAP_NAME.*)
相同應用的不同進程之間互相發送signal的權限
安裝模式
snap通過不同的安裝模式提供不同的資源訪問控制。
1) Devmode
devmode即為開發模式。使用以下命令將應用安裝在此模式下:
$ snap install hello --devmode
$ snap list
Name Version Rev Developer Notes
core 16-2.26.9 2381 canonical -
hello 2.10 20 canonical devmode
pc 16.04-0.8 9 canonical -
pc-kernel 4.4.0-83.106 68 canonical -
此模式為應用程序提供完全的訪問權限,但會在日志中記錄程序的越權行為。
在devmode下,snap應用只能訪問/snap/<snap name>下的文件。
2) Classic
此模式將取消所有訪問限制,不會在日志中記錄越權行為。
在classic模式下,snap應用可以訪問’/’下的文件。
Interfaces
除去默認安全策略為其提供的資源外,snap應用沒有權限訪問系統其它資源。若snap應用需要使用系統資源或其它應用程序提供的資源,需通過interfaces機制配置接口。interfaces接口分為兩種,slot(服務提供者)和plug(服務使用者)。
snap應用訪問受限資源的示意如下:
注意:操作系統在snap系統中也作為snap應用的形式存在。
如圖所示,通過配置snap應用的plug和slot即可實現snap應用的互相訪問。
查看系統上已經存在的plug和slot:
$ snap interfaces
Slot Plug
:account-control -
:alsa -
:autopilot-introspection -
:bluetooth-control -
:browser-support -
:camera -
:classic-support classic
:core-support core:core-support-plug
.........
下面以一個例子說明plug和slot的使用。
name: blue
...
apps:
blue:
command: bin/blue
slots: [bluez]
以上文件可作為一個藍牙設備驅動程序的snap包打包控制文件。當此應用被安裝時,系統將為其分配security policy ID為snap.blue.blue並包含規則:當blue啟動時為其創建bluez slot。
要在其它應用中使用這個slot提供的功能,則打包控制文件如下所示:
name: blue-client
...
apps:
blue-client:
command: bin/blue-client
plugs: [bluez]
同理,當此應用被安裝時,系統將為其分配security policy ID為snap.blue-client.blue-client並包含規則:允許此應用與snap.blue.blue通信。同時,提供slot的安全規則也會改寫為:snap.blue.blue允許snap.blue-client.blue-client與其進行通信。
下圖說明了snap應用與應用之間在嚴格的分隔限制下的互相通信。
snap系統由snap應用組成,包括系統和內核都以snap包的形式出現在系統中。各個snap包之間通過interfaces互相提供服務來完成協同工作,同時各個應用又不失自身的獨立性。
四、總結
snap系統提供了強大的安全系統。與傳統linux發行版相比,snap系統中的應用更加獨立、安全,同時對snap應用權限的配置也更加簡單。在日益增長的嵌入式和物聯網需求與日益嚴峻的系統安全形勢下,snap系統表現出了比傳統linux發行版更突出的優勢。