Hlavní navigace

Názor ke zprávičce Jak z Ubuntu odstranit Snap od ja. - > Nucené upgrady ve snapu do jisté míry...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 3. 5. 2022 12:45

    ja.

    > Nucené upgrady ve snapu do jisté míry záleží na baliči. Dobře připravený balík má major verze v různých kanálech. Pokud nemá, je to v podstatě stejná situace, jako s balíky deb nebo rpm: ty taky de facto musíte aktualizovat ať chcete nebo nechcete. Bordel v home to nedělá, je tam jedna složka snap a všechno ostatní je v ní. Bordel v mountech... jak se to vezme. V Linuxu jako mount vypadá tolik věcí, že když nějaké nástroje spoléhají jenom na to, co se jeví jako mount, tak je spíš problém ve špatné koncepci takových nástrojů.

    Aj dobre pripravený balík môže mať rovnaký bug v rôznych kanáloch, pre upstream nemusí byť priorita to opraviť, ale konkrétne pre vás to môže byť fatálne.

    S normálnymi systémami - dnf, apt, flatpak - máte niekoľko možností:

    - nemusíte updatovať vôbec nič

    - môžete updatovať selektívne, danú aplikáciu napinujete a nikdy sa neupdatne.

    Napríklad relatívne nedávno fedora urobila update wpa_supplicant na verziu 2.10. Táto verzia má problémy s niektorými chipsetmi a výsledkom je, že sa počítač nepripojí k wifi. Samozrejme, používateľ sa radšej pripojí k wifi so staršou verziou ako nepripojí s novšou, a nie je problém zakázať aktualizáciu tohto balíčku, pokiaľ si to chlapci nevyriešia.

    (Btw, otázka na ľudí z Redhatu: "Lubomir Rintel" je skutočný človek, ktorý reálne rieši bugy? Nikdy som nevidel že by položil doplňujúcu otázku k nahlásenému problému, nebodaj priradený bug vyriešil, vždy bol ponechaný vyhniť bez reakcie. Nie je to iba označenie na bugy, že jedného dňa sa k tomu možno niekto dostane?)

    A takýchto príkladov by som mal viac, vrátane proprietárnych aplikácií, kam sa bug dostal do stable na niekoľko rokov a chlapci sa zbadali, až keď im zákazníci prestali platiť maintenance (keď už zostávajú na starej verzii bez možnosti update...).

    Čo sa týka mountov... koncepcia nástrojov je správna, zneužívanie mount pointov nie je. Naozaj nie je nutné mountovať desiatky squasfs images; ešte aj ten flatpak zvláda svoje bind mounty realizovať vovnútri namespace svojich sandboxov a nezaťažovať tým aplikácie mimo sandboxu.

    > Zatímco u flatpaku máte... Flathub a tečka. Ano, teoreticky je možné mít i jiné app story, v praxi to nikdo nedělá. Stejně jako u klasických balíků máte repozitáře distra a hotovo (teoreticky je i PPA, COPR apod, ale jejich používání je tak riskantní, že v mnoha případech to rozhodně nelze doporučit a už vůbec ne např. na pracovním počítači.)

    Viacero repozitárov a viacero verejných repozitárov sú dve veľmi odlišné veci.

    Na flatpaku vám stačí http server a môžete si urobiť svoj vlastný repozitár. Môžete mať svoje repo vovnútri vašej organizácie, ktoré hostuje vaše interné aplikácie a nikto vám do toho nebude kecať alebo nejako obmedzovať, ani za to nemusíte platiť nejaké členské. Na pracovné počítače ako robené.

    Presne toto bolo možné aj s apt a yum/dnf a presne toto nie je možné so snap.

    > Nic mu v tom nebrání, protože Flatpak nepoužívá LSM vůbec. Používá jenom seccomp, namespaces a cgroups jako nejmenší možné jmenovatele. Snap používá to samé plus navíc AppArmor. Je tedy lépe zabezpečený, než Flatpak. Když ale budete používat snap na RH a derivátech, tak prostě AppArmor nevyužije a bude se chovat přesně stejně, jako flatpak.

    Existujúca SELinux politika sa týka flatpaku, či sa mu to páči alebo nie, v enforcing mode (default) to nie je opt-in. Pokiaľ by nespolupracoval, tak by nedostal ani len socket na dbus.

    Takže váš záver, že snap je lepšie zabezpečený je nesprávny.