Panoramica distro e snap

[frapox]

Da un punto di vista della sicurezza fuori da Ubuntu è più sicuro flatpak.

Questa è una affermazione molto discutibile.

Snap si basa su AppArmor, seccomp e namespaces per l'isolamento dei processi e queste sono feature a livello kernel, che quindi possono essere sfruttate teoricamente su qualsiasi distro.

When a snap is installed, it’s metadata is examined and used to derive AppArmor profiles, Seccomp filters and device cgroup rules, alongside traditional permissions. This combination provides strong application confinement and isolation:

https://snapcraft.io/docs/security-sand ... ermissions
https://snapcraft.io/docs/snap-confinement

Il problema è semmai per quelle famiglie di distro (Fedora e derivate) che utilizzano un MAC alterntivo (SELinux), sostituire il quale è praticamente impossibile e quindi diventa impossibile usare efficacemente anche il sandboxing di Snap.

Ma le Debian e derivate hanno scelto AppArmor come MAC predefinito, quindi non c'è conflitto.

[woddy68]

Da un punto di vista della sicurezza fuori da Ubuntu è più sicuro flatpak.

Questa è una affermazione molto discutibile.

Snap si basa su AppArmor, seccomp e namespaces per l'isolamento dei processi e queste sono feature a livello kernel, che quindi possono essere sfruttate teoricamente su qualsiasi distro.

When a snap is installed, it’s metadata is examined and used to derive AppArmor profiles, Seccomp filters and device cgroup rules, alongside traditional permissions. This combination provides strong application confinement and isolation:

https://snapcraft.io/docs/security-sand ... ermissions
https://snapcraft.io/docs/snap-confinement

Il problema è semmai per quelle famiglie di distro (Fedora e derivate) che utilizzano un MAC alterntivo (SELinux), sostituire il quale è praticamente impossibile e quindi diventa impossibile usare efficacemente anche il sandboxing di Snap.

Ma le Debian e derivate hanno scelto AppArmor come MAC predefinito, quindi non c'è conflitto.

openSUSE usa AppArmor per impostazione predefinita. Ripeto tenete presente che openSUSE ha politiche di sicurezza molto restrittiva, però di fatto è così. Ad es. https://bugzilla.suse.com/show_bug.cgi?id=1127368

[frapox]

openSUSE usa AppArmor per impostazione predefinita. Ripeto tenete presente che openSUSE ha politiche di sicurezza molto restrittiva, però di fatto è così. Ad es. https://bugzilla.suse.com/show_bug.cgi?id=1127368

Si ma questo non ha niente a che vedere con il discorso precedente. Quel bug non esemplifica niente di rilevante.

Ripeto:
"Da un punto di vista della sicurezza fuori da Ubuntu è più sicuro flatpak." è una cazzata, visto che Snap funziona allo stesso modo su qualsiasi distro, sfruttando le stesse feature del kernel presenti su tutte le distro, che usa anche Flatpak.

Pagina della wiki ufficiale di opensuse:

Snappy (or Snap) is a distribution-agnostic package management system developed by Canonical. The packages called snaps are self-contained applications running in a sandbox with limited access to the host system.

Vedi scritto da qualche parte "oh no, non installate Snap perché è insicuro?"

Possiamo dire che Snap è lento, che ha problemi di usabilità, che è gestito da una sola entità (Canonical) e siamo d'accordo. Ma dire che è insicuro a buffo, no. Altrimenti anche Flatpak sarebbe insicuro, visto che usa le stesse tecnologie kernel space (seccomp, namespace, cgroup, etc.), tramite Bubblewrap, che usa Snap.

[emanuc]

openSUSE usa AppArmor per impostazione predefinita. Ripeto tenete presente che openSUSE ha politiche di sicurezza molto restrittiva, però di fatto è così. Ad es. https://bugzilla.suse.com/show_bug.cgi?id=1127368

Si ma questo non ha niente a che vedere con il discorso precedente. Quel bug non esemplifica niente di rilevante.

Ripeto:
"Da un punto di vista della sicurezza fuori da Ubuntu è più sicuro flatpak." è una cazzata, visto che Snap funziona allo stesso modo su qualsiasi distro, sfruttando le stesse feature del kernel presenti su tutte le distro, che usa anche Flatpak.

Pagina della wiki ufficiale di opensuse:

Snappy (or Snap) is a distribution-agnostic package management system developed by Canonical. The packages called snaps are self-contained applications running in a sandbox with limited access to the host system.

Vedi scritto da qualche parte "oh no, non installate Snap perché è insicuro?"

Possiamo dire che Snap è lento, che ha problemi di usabilità, che è gestito da una sola entità (Canonical) e siamo d'accordo. Ma dire che è insicuro a buffo, no. Altrimenti anche Flatpak sarebbe insicuro, visto che usa le stesse tecnologie kernel space (seccomp, namespace, cgroup, etc.), tramite Bubblewrap, che usa Snap.

Sulle distro dove non è configurato AppArmor o senza le patch di Canonical, si sono insicure le APP snap. Molte patch di AppArmor non sono sul kernel upstream (non so se ad oggi è cambiato qualcosa).
Sembra di no:

As far as getting the various AppArmor kernel features merged upstream, that work is still ongoing as well. With any luck both should hopefully happen within the first few months of this year

https://forum.snapcraft.io/t/snapd-stil ... ment/19632
Che io sappia solo Ubuntu configura AppArmor by default, ovviamente questo include le sue derivate.

Inoltre quello che reputa insicuro il team di sicurezza di SUSE è il demone snapd:

snapd has failed every security audit ever conducted by SUSE/openSUSE and upstream have not made any of the required adjustments to make the software acceptable for use in SUSE/openSUSE distributions.

That's the reason I will never use them, and I only use MicroOS for my servers (and after this Hackweek, maybe my desktops also)

https://www.reddit.com/r/openSUSE/comme ... n_microos/

[frapox]

Non ho voglia, né mi interessa, di andare a ravanare nei forum per leggere pareri, voci e indiscrezioni di gente a caso, più o meno informata sui fatti. Io mi attengo alla documentazione ufficiale delle distro.

Nessuna distro segnala le app Snap come "insicure", intendendo con questo che il confinamento di Snap non è funzionante.

La wiki di archlinux riporta quanto segue:

snapd supports the AppArmor security model if it is enabled on your system, to install it follow AppArmor#Installation.

https://wiki.archlinux.org/title/Snap

Apparmor è un modulo del kernel presente di default su molte distro e quello che può variare da distro a distro è il supporto userspace che consiste nelle librerie (libapparmor) e dei tool userspace. Su Debian il supporto c'è di default, così come anche su alcune derivate, Ubuntu compresa. Su openSuse, anche, come anche woddy ha scritto poco sopra. Su distro DIY tipo Arch uno deve installarselo manualmente, ma questo è ben chiaro all'utente di queste distro, e in ogni caso è ben specificato nella wiki.

Apparmor non va "configurato" perché ci pensano automaticamente i tool di Snap che creano un profilo per ogni applicazione.

When using AppArmor, snapd will generate the same profiles for snaps as on Ubuntu. The AppArmor parser is smart enough to drop the rules that are not yet supported by the mainline kernel.

(sempre dalla wiki di Arch)

Quindi riassumendo: con un kernel mainline sufficientemente aggiornato e con AppArmor il confinamento su Snap funziona regolarmente anche fuori da Ubuntu. E, a meno di usare una distro EoL da tempo, qualsiasi distro recente è in grado di attuare il confinamento necessario a renderle "sicure".

Spoiler

Mostra

Anche questa suddivisione tra app sicure/insicure in base al confinamento è al limite del grottesco. Un'app non è insicura perché non è confinata, ma al massimo, è più sicura se viene confinata. Ma lasciamo perdere, che se no non ne usciamo più.

Dopodiché prendo atto che il demone snapd 2 anni fa ha fallito gli audit di sicurezza di openSuse. Chissà, magari nel frattempo lo hanno sistemato. In ogni caso oggi nella wiki di openSuse (vedi sopra) non c'è menzionato alcun problema di "insicurezza", neanche un accenno in una nota. E in ogni caso, il demone snapd è solo un piccolo pezzo del puzzle, mentre l'intero security model di Snap non è mai stato messo in discussione. Full stop.

Non replicherò ulteriormente perché non ci tengo a commentare indiscrezioni o voci di corridoio di utenti su reddit.

[woddy68]

Si, ma quello è il wiki di openSUSE per aggiungere snaps via repository esterno, i repository esterni funzionano come i ppa di Ubuntu, la distribuzione non si assume responsabilità su quello che stai installando, se rompe il tuo sistema sono affari tuoi.
Altro sono le cose che vengono inserite nei repository ufficiali, che ovviamente devono rispettare alcuni standard.

[frapox]

Si, ma quello è il wiki di openSUSE per aggiungere snaps via repository esterno, i repository esterni funzionano come i ppa di Ubuntu, la distribuzione non si assume responsabilità su quello che stai installando, se rompe il tuo sistema sono affari tuoi.

Non me ne frega assolutamente niente woddy, io non uso openSuse e il problema non mi riguarda. Se digito "wiki open suse snap" su Gugol il primo match che ottengo è quella pagina della wiki ufficiale. Che non specifica alcun problema di sicurezza riguardante snap. Fine.

[emanuc]

Voglio solo precisare che le discussioni su reddit e sul forum snapcraft non sono di "gente a caso" ma rispettivamente dipendenti di Canonical e SUSE.
Dopo 2 anni non è cambiato niente perché gli sviluppatori di snapd non hanno apportato e modifiche richieste, forse per il fatto che lo sviluppatore che ci stava lavorando non lavora più per Canonical, questo non lo so sinceramente e mi frega poco o niente di snapd, era solo per discutere.
Sono insicure perché l'utente che installa le app snap è convinto che siano confinante quando il realtà potrebbero non esserlo.

[frapox]

Voglio solo precisare che le discussioni su reddit e sul forum snapcraft non sono di "gente a caso" ma rispettivamente dipendenti di Canonical e SUSE.

Ma sui forum se ne scrivono tante eh...

Dopo 2 anni non è cambiato niente perché gli sviluppatori di snapd non hanno apportato e modifiche richieste, forse per il fatto che lo sviluppatore che ci stava lavorando non lavora più per Canonical, questo non lo so sinceramente e mi frega poco o niente di snapd, era solo per discutere.

Va bene, ai mantainer di openSuse non piace come Snapd lavora. Ce ne faremo una ragione.

Sono insicure perché l'utente che installa le app snap è convinto che siano confinante quando il realtà potrebbero non esserlo.

Ma hai prove di questo comportamento o sono solo illazioni/convinzioni personali? Intendo prove o test in cui si mostra che il confinamento di snap non funziona (fuori da ubuntu).

[emanuc]

Voglio solo precisare che le discussioni su reddit e sul forum snapcraft non sono di "gente a caso" ma rispettivamente dipendenti di Canonical e SUSE.

Ma sui forum se ne scrivono tante eh...

Dopo 2 anni non è cambiato niente perché gli sviluppatori di snapd non hanno apportato e modifiche richieste, forse per il fatto che lo sviluppatore che ci stava lavorando non lavora più per Canonical, questo non lo so sinceramente e mi frega poco o niente di snapd, era solo per discutere.

Va bene, ai mantainer di openSuse non piace come Snapd lavora. Ce ne faremo una ragione.

Sono insicure perché l'utente che installa le app snap è convinto che siano confinante quando il realtà potrebbero non esserlo.

Ma hai prove di questo comportamento o sono solo illazioni/convinzioni personali? Intendo prove o test in cui si mostra che il confinamento di snap non funziona (fuori da ubuntu).

Le prove sono su Fedora che usa SELinux e il confinamento non funziona, visto che snapd usa in parte AppArmor per farlo, ho letto di piani per supportare anche SELinux ma ad oggi niente e questo è un problema noto.
Tra l'altro SUSE sta facendo lo switch da AppArmor a SELinux già fatto su micro, microOS e la futura Alp.

EDIT: Ed è uno dei motivi del perché è stato disattivato il plugin snapd su gnome software, su Fedora Linux.

There's also still no sandboxing support years after it was
promised, which means on Fedora running a snap is no more secure than
"wget -O - URL | bash", again much unlike Flatpak.

https://lists.fedoraproject.org/archive ... TVZWCRQHU/

[frapox]

Ahhhh ok, sulle distro con SELinux (al posto di AppArmor) il confinamento non funziona, che è precisamente quello che ho scritto anche io da subito:

Il problema è semmai per quelle famiglie di distro (Fedora e derivate) che utilizzano un MAC alterntivo (SELinux), sostituire il quale è praticamente impossibile e quindi diventa impossibile usare efficacemente anche il sandboxing di Snap.

Bene, allora ci siamo capiti.

[emanuc]

Si ma a parte la questione sicurezza il supporto migliore di integrazione lo hai solo su Ubuntu, Canonical testa pesantemente solo li (giustamente). Gli snap se uno vuole proprio usarli e gli piacciono si installa Ubuntu o derivate

[frapox]

Si ma a parte la questione sicurezza il supporto migliore di integrazione lo hai solo su Ubuntu, Canonical testa pesantemente solo li (giustamente). Gli snap se uno vuole proprio usarli e gli piacciono si installa Ubuntu o derivate

Questo è un altro discorso. Certo posso capire che Canonical cerchi di spingere il suo formato universale sulla sua distro facendo più test e supporto sulla sua distro. Detto ciò, nessuno impedisce all'utente che voglia usare Snap su altre distro di poterne disporre, fatto salvo il confinamento che è presente solo laddove esiste il supporto completo a AppArmor (kernelspace + userspace). E questo restringe il campo "solo" alle Debian e derivate (una grossa fetta del mercato ). Insomma non male tutto considerato.

Del resto lo scopo primario di un formato universale è proprio quello di fornire la possibilità agli sviluppatori di rendere disponibile un'app su qualsiasi distro, comprese le dipendenze, e agli utenti di poterne fruire. Il resto, a mio parere, è secondario.