Zitat von
LinuxBiber am 2. Oktober 2023, 23:31 Uhr
Auszüge aus dem Archiv!
von P1xel » Sa 10. Sep 2022, 21:25
Guten Abend zusammen,
durch Roberts Ubuntu-Buch (übrigens super geschrieben für Anfänger 
) bin ich auf Snap und Flatpak aufmerksam geworden, welche laut Recherche in einer Sandbox laufen sollen.
Und dazu habe ich eine Frage – mein Firefox ist eine Snap-Version. Somit sollte der ja in einer Sandbox „verpackt“ sein. Ist das standardmäßig bzw. automatisch so oder muss ich erst noch etwas aktivieren?
Denn: Wenn ich z. B. etwas downloade kann ich in allen Ordnern (Home, Videos, Bilder, etc.) den Download abspeichern. Sollte das nicht anders sein, sprich der Browser hat gar keinen Zugriff auf diese oder nur auf die „Sandbox-Ordner“?
Noch eine allgemeine Frage zu den beiden: Wird der Inhalt der beiden „Stores“ (so nenne ich das jetzt mal 
) eigentlich geprüft? Z. B. durch Canonical oder Flathub bei Einreichen der jeweiligen Software Prüfung des Quellcodes wie es z. B. bei F-Droid üblich ist usw.
Vielen Dank für eure Tipps!
von robertgoedl » Sa 10. Sep 2022, 21:43
Hallo P1xel
Gewisse Zugriffe werden je nach Software automatisch erlaubt - so etwa das Speichern von Dateien. Mit Flatseal lassen sich die Rechte übrigens speziell anpassen. Will man ganz sicher gehen - Firejail.
von No.6 » Sa 10. Sep 2022, 22:20
Frage zur Sicherheit und Sandbox Snap und
Flatpak
Da wäre zuerst einmal zu klären, was mit "Sicherheit" gemeint ist.
"Security" bezieht sich auf den Schutz vor Malware.
"Safety" bezieht sich auf Stabilität, also den Schutz vor dem "Zerschießen" eines Systems.
Und schließlich gibt es noch die "Privacy", das heißt ob und warum irgendwohin "telefoniert" wird.
Ob das "geprüft" wird? Gute Frage.
von robertgoedl » So 11. Sep 2022, 05:38
rockyracoon hat geschrieben: Sa 10. Sep 2022, 22:20
Frage zur Sicherheit und Sandbox Snap und
Flatpak
Ob das "geprüft" wird? Gute Frage.
Das ist wohl so eine Geschichte - im Snap-Store von Canonical, also von Ubuntu wurde auch schon Schadsoftware gefunden. Nicht direkt Schadsoftware, sondern Miner. Also Software, die etwa ohne dem Wissen des Nutzers nach digitalen Währungen schürft. Gefunden wurde diese jedoch nicht vom Betreiber - also grob umschrieben von Ubuntu, sondern von einem Nutzer.
Mehr dazu unter Heise.de.
von josefine » So 11. Sep 2022, 09:44
P1xel hat geschrieben: Sa 10. Sep 2022, 21:25
Noch eine allgemeine Frage zu den beiden: Wird der Inhalt der beiden „S
tores“ (so nenne ich das jetzt mal
) eigentlich geprüft? Z. B. durch
Canonical oder
Flathub bei Einreichen der jeweiligen Software Prüfung des
Quellcodes wie es z. B. bei F-Droid üblich ist usw.Vielen Dank für eure Tipps!
robertgoedl hat geschrieben: So 11. Sep 2022, 05:38
rockyracoon hat geschrieben: Sa 10. Sep 2022, 22:20
Frage zur Sicherheit und Sandbox Snap und
Flatpak
Ob das "geprüft" wird? Gute Frage.
Das ist wohl so eine Geschichte - im Snap-Store von Canonical, also von Ubuntu wurde auch schon Schadsoftware gefunden. Nicht direkt Schadsoftware, sondern Miner. Also Software, die etwa ohne dem Wissen des Nutzers nach digitalen Währungen schürft. Gefunden wurde diese jedoch nicht vom Betreiber - also grob umschrieben von Ubuntu, sondern von einem Nutzer.
Mehr dazu unter Heise.de.
Ich bin der Meinung das es eine Hunderprozentige Sicherheit nirgends geben kann.
Aber:
Der Vorteil einer Community ist der, das man dann doch relativ rasch etwaige "Schädlinge und Miner" findet.
Ich glaube auch nicht das Cannonical den Code von Firefox prüft bevor er freigegeben Wird. Die werden sich schon auf Mozilla verlassen ...
Bei kleineren Projekten könnte ich es mir schon vorstellen.
Die Frage ob Snap oder Flatpak die bessere Wahl ist wird man auch nie vollständig beantworten können. Jedes hat so seine Vor- und auch Nachteile.
von No.6 » So 11. Sep 2022, 16:18
...
Keine Prüfung auf Schadsoftware im S
tore
Der Snap S
tore von Ubuntu testet zwar die technische Lauffähigkeit einer Anwendung, verfügt aber über keine Prüfung auf versteckte Schadsoftware. Jeder kann Snap-
Pakete in den Snap S
tore hochladen.
...
Ubuntu führte sein
Paketformat Snap mit Version 16.04 seiner
Linux-
Distribution ein und versprach dadurch mehr Komfort durch Wegfall der Abhängigkeiten sowie mehr Sicherheit, weil eine Snap-Anwendung eigentlich abgeschottet in einer Sandbox läuft – was jedoch für
Desktop-
Snaps nicht ohne weiteres gilt.
...
Aus: https://www.heise.de/newsticker/meldung ... 48910.html
von No.6 » So 11. Sep 2022, 16:34
...
Flatpak ist insgesamt freier. Während
Snaps auf den Ubuntu S
tore beschränkt bleiben, finden sich die
Flatpak-
Pakete, die ursprünglich aus dem Labor von
Gnome/Fedora stammen, in diversen Reposi
tories.
...
Was die Sicherheit angeht, so ist
Flatpak unter Fedora 25 derzeit am sichersten: Hier kommt bereits
Wayland zum Einsatz und bietet eine abgesicherte Grundlage. Geht es um den Einsatz in möglichst vielen
Distributionen, erweist sich
Flatpak insgesamt als flexibler, was zu seiner derzeit weiteren Verbreitung gegenüber Snap geführt hat.
...
Generell entsteht der Eindruck, dass die neuen Systeme, auch falls sie sich weiter durchsetzen, herkömmliche Formate wie
DEB und
RPM auf absehbare Zeit nicht verdrängen können: In Sachen Sicherheit und vor allem Integrität haben die “Oldtimer” derzeit noch die
Nase vorn.
...
Aus: https://www.linux-community.de/ausgaben ... spakete/3/
von No.6 » So 11. Sep 2022, 16:38
...
AppImage hat zwar grob betrachtet die gleichen Ziele wie
Flatpak und Snap, jedoch gibt es entscheidende Unterschiede. So wird im Gegensatz zu den Mitbewerbern keine Installation einer Basis-Software vorausgesetzt.
AppImage verzichtet ebenfalls auf die bei
Flatpak eingesetzten Laufzeitumgebungen, die
desktopspezifisch oft benötige
Bibliotheken bündeln und somit verhindern, dass jedes
Paket alle benötigten Abhängigkeiten erneut mitbringen muss, auch wenn diese auf dem System bereits vorhanden sind.
...
AppImage verzichtet derzeit von Hause aus auf ein Sicherheitsmodell wie es
Flatpak und Snap in Form von Sandboxen bieten. Hier muss der Anwender noch selbst tätig werden und kann die Anwendungen beispielsweise in Firejail laufen lassen.
...
Aus: https://linuxnews.de/2020/02/appimage-d ... nte-wesen/
von No.6 » So 11. Sep 2022, 16:50
von No.6 » Mo 12. Sep 2022, 13:27
Als Recherche-Ergebnis lassen sich meiner Meinung nach folgende Schlußforgerungen zur Sicherheit ziehen:
(1) Bei der Frage nach Sicherheit sollte man sich nicht nur auf die Anbieter von Fremdsoftware und die Wachsamkeit der Community verlassen, sondern selbst für mehr Sicherheit sorgen.
(2) Wenn man Fremdsoftware verwendet, sollte man sich daher wie überhaupt beim Verwenden von Linux-Betriebssystemen zumindest rudimentäres Grundlagenwissen dazu aneignen: https://cstan.io/?p=13062)
(3) Als Alltags-Standard sollte man Pakete aus den offiziellen Repositories von Distributionen installieren. Fremdsoftware wie .deb-Pakete, .rpm-Pakete, AppImages, Flatpak oder Snap sollten nur als Zugabe dienen, wenn man unbedingt spezielle Programme, neuere Versionen einer Anwendung oder Treiber braucht, aber keineswegs generell ein natives Paket-Management dadurch ersetzen.
(4) Genauso wie Standardsoftware sollte man besonders Fremdpakete nie mit Root-Rechten öffnen.
(5) Sandboxing ist bei Fremdsoftware sinnvoll, man sollte sie aber nicht überbewerten und als völligen Schutz des Systems ansehen. Die Programme in einer Sandbox brauchen um funktionieren zu können schon die eine oder andere Berechtigung, welche unter Umständen Probleme bereiten kann.
Mit Flatseal (https://itsfoss.com/flatseal/) lassen sich einzelne Berechtigungen bei Flatpak verwalten.
Zumindest empfiehlt sich zusätzlich der Fenstermanager Wayland, da er neben dem Vorteil schlanker programmiert zu sein auch mehr Sicherheit bietet als X11, weil er grob gesagt die Anwendungsfenster besser gegeneinander abschottet (*).
Wer ganz sicher gehen will, sollte fragliche Programme grundsätzlich in Firejail öffnen.
(6) Zum Thema Privacy kann hier vielleicht jemand Anderes Etwas schreiben.
von zebolon » Di 13. Sep 2022, 17:22
Eine Anmerkung zum Thema
Flatpak und Snap - unabhängig der Sicherheit - sei noch erlaubt:
In der Regel liegen die
Dateigrößen doch erheblich über dem von z. B.
DEB-
Paketen.
Am Beispiel vom
PDFArranger (liegt im offiziellen
Repository von
Debian usw. vor).
Möchte man die neue Version 1.8.2 (als
DEB-File verfügbar) installieren, beträgt die
Paketgröße ca. 112 kB zzgl. benötigter Abhängigkeiten.
Zum Vergleich: Die Flatpak-Version müllt einem den PC u. U. mit weit über 800 MB zu. Das steht in keinem Verhältnis.
Bei Snap-Paketen verhält es sich bei anderen Apps teilweise ähnlich.
Man sollte allein deshalb schon etwas umsichtig sein.
von No.6 » Di 13. Sep 2022, 18:03
@zebolon:
Nicht nur das. Es gibt viele wichtige Aspekte, welche ein Casual-User aber schlicht nicht lesen oder verarbeiten kann:
https://ludocode.com/blog/flatpak-is-not-the-future
...
All of these technologies are essentially building an entire OS* on top of another OS just to avoid the challenges of backwards compatibility. In doing so, they create far more problems than they solve.
...
Aus:
https://ludocode.com/blog/flatpak-is-not-the-future
* OS = operating system
Das bringt es für mich auf den Punkt 
...
Alle diese Technologien erstellen im Grunde ein vollständiges Betriebs-System über einem anderen Betriebs-System, nur um die Herausforderungen der Abwärtskompatibilität zu vermeiden. Indem sie dies tun, erzeugen sie wesentlich mehr Probleme als sie lösen.
...
Meine Übersetzung aus:
https://ludocode.com/blog/flatpak-is-not-the-future
Was die Frage nach den aufgeblähten Containern betrifft, so kommt in der Regel als Gegenargument, dass die Runtimes verschiedener Flatpak-Programme gemeinsam benutzt würden, so dass die Last nur beim ersten Flatpak entstünde. Dagegen ist wiederum zu sagen, dass auch Flatpak verwendende Nutzer darauf hinweisen, dass man sein System nicht mit Flatpak-Programmen zupflastern, sondern diese vielmehr als Ausnahme betrachten sollte. Weiterhin nutzen viele Programme verschiedene Runtimes, zudem in unterschiedlichen Bibliotheks-Versionen, so dass der argumentierte „Spar-Effekt“ gering ist. Genauer beschreibt dies die von mir angegebene Quelle:
...
Sharing Runtimes?
Flatpak says this is so that apps can share runtimes. But the whole point of their runtime system is to let apps use different runtimes. Each branch of a runtime (representing, say, a different base version of Ubuntu) is a completely independent runtime image.
They claim that they deduplicate runtimes. I question how much can really be shared between different branches when everything is recompiled. How much has /usr changed between
releases of Ubuntu? I would guess just about all of it.
Steam at least fares somewhat better. The Soldier runtime is a 610 MB download, still large. But Steam only publishes a couple of official runtimes, so most games do actually share runtimes.
Flatpak allows anyone to define their own runtimes. free
desktop.org publishes some
Flatpak runtimes for common use, but these aren’t necessarily the ones apps are using. For example Fedora publishes apps with its own runtimes, and these are the ones available by default in its Software s
tore.
If you install GIMP in Fedora 34’s Software s
tore, it defau
lts to Fedora’s
Flatpak of GIMP. This pulls in Fedora 35’s 650 MB runtime, not any free
desktop.org runtime. Nothing will be shared with our free
desktop runtime KCalc we installed from
Flathub earlier. On my machine /var/lib/
flatpak is using over 3 GB of disk space for just these two apps.
This is apparently wor
king as intended. They want runtimes to be a free-for-all, filling your hard drive with gigabytes of custom junk for every app. I can’t imagine what system
updates will be like in the future when you have a few dozen apps s
toring tens of gigabytes of runtimes that all want to be kept up to date.
...
Aus:
https://ludocode.com/blog/flatpak-is-not-the-future
von bluestar » Mi 14. Sep 2022, 12:37
Ja so ist es. Flatpak ist Ergänzung - mehr nicht. Je älter ein aktuelles Debian Stable wird, desto grösser wird der Anteil von Flatpaks. 
Und da es ja die Möglichkeit gibt, das Zeug im Userverzeichnis zu installieren, juckt es mich auch nicht mehr sonderlich. Bei den Standard-Apps Firefox und Thunderbird liefert Debian ja seit einiger Zeit ziemlich zeitnah neuere Versionen. Prima! Telegram nutze ich ziemlich intensiv - dafür gibt es ja dann ein aktuelles Flatpak. Auch prima.
Was die Abschottung/Sicherheit angeht: Auf dem Mac gibt es die zu Firejail entsprechende (kostenintensive) Software "Little Snitch". War anfangs ganz interessant, mal zu sehen was da alles von aussen zugreift und wo die Datenströme eigentlich hingehen. Im produktiven Betrieb wurde die Spielerei aber schnell lästig - da dem Ding ja immerzu gesagt werden muss, was "rechtens" ist und was nicht. Man wird dann quasi ständig gezwungen als "Entscheidungsfinder" zu fungieren. Und das Gemeckere geht einem irgendwann auf den Senkel. Das hat seinen Grund, warum Apple das nicht von Haus aus mitliefert und aktiviert ... 
Aus dem Grund finde ich es zwar gut, dass es sowas wie Little Snitch auch unter Linux gibt - für Test- und Lernzwecke - im produktiven Einsatz dürfte es allerdings keine grosse Rolle spielen. Aus obengenannten Gründen. Linux-Entsprechungen schaffen es auch meistens nicht, technischen Hintergrund in eine ansprechende GUI zu verpacken.
Viel mehr Sinn würde eine vernünftige Firewall schon auf Router-Ebene machen. pfSense mit Suricata z.B. Es ist sehr interessant zu sehen, wieviele verseuchte Windowsrechner, aber auch auch immer wieder Androiden in einem Hotel (Also viele wechselnde Nutzer im WLAN) durch Suricata geblockt werden müssen. Unglaublich. Auch Botschleudern waren schon dabei. Und selbst hier flutscht immer wieder alle paar Jahre einer durch, weil die Signaturen für ein IDS niemals aktuell sein können. Es gibt also keine 100% Sicherheit. Niemals. Aber ob im Privatbereich so ein Aufwand auch schon notwendig ist?
Wäre dem tatsächlich so, würden die meistverkauften Router im Heimbereich, die Fritzboxen ein sich selbst aktuell haltendes Network Intrusion Detection System beinhalten. Tun sie bislang nicht. Und mich als Linux User zwingt ja keiner irgendeine Software aus Fremdquellen zu installieren. Das potentielle Risiko gehe ich eben ein oder nicht.
von zebolon » Do 15. Sep 2022, 23:18
P1xel hat geschrieben: Do 15. Sep 2022, 14:58
zebolon hat geschrieben: Di 13. Sep 2022, 17:22 Eine Anmerkung zum Thema
Flatpak und Snap - unabhängig der Sicherheit - sei noch erlaubt:
In der Regel liegen die
Dateigrößen doch erheblich über dem von z. B.
DEB-
Paketen.
[...]
Zum Vergleich: Die
Flatpak-Version müllt einem den PC u. U. mit weit über 800 MB zu. Das steht in keinem Verhältnis.
Danke für den Hinweis, dass die so viel Speicherplatz verbrauchen.
Wenn wir schon dabei sind – gibt es für Snap und Flatpak denn „Clean-Kommandos“, welche alte Teile oder Caches etc. entfernt (analog z. B. apt autoremove oder apt autoclean)?
Als erstes verschaffst Du Dir mal eine Übersicht der installierten Flatpaks mit Eingabe im Terminal:
flatpak --columns=name,size list
Mit dem Terminal-Befehl:
flatpak list -d --app --runtime
kann man sich zudem die zugehörigen "runtimes" mal ansehen.
Längere Zeit unbenützte Flatpaks werden hiermit ermittelt:
flatpak uninstall --unused
In meinem Beispiel sind es Themes, die ich nicht mehr benötige und schon lange nicht mehr verwendet wurden und deshalb hier aufgelistet und getrost deinstalliert werden können. Den Vorgang mit "Y" bestätigen.
Die ausgewählten Flatpaks und deren Abhängigkeiten sind damit gelöscht.
Verbliebene Cache-Dateien werden mit folgenden Befehl:
sudo rm -rfv /var/tmp/flatpak-cache-*
im Terminal gelöscht.
Ein erneuter Aufruf von:
flatpak uninstall --unused
zeigt, es gibt momentan nichts zu tun.
Zu Snap: Eine hilfreiche Seite findest Du hier https://wiki.ubuntuusers.de/snap/
Auszüge aus dem Archiv!
von P1xel » Sa 10. Sep 2022, 21:25
Guten Abend zusammen,
durch Roberts Ubuntu-Buch (übrigens super geschrieben für Anfänger ) bin ich auf Snap und Flatpak aufmerksam geworden, welche laut Recherche in einer Sandbox laufen sollen.
Und dazu habe ich eine Frage – mein Firefox ist eine Snap-Version. Somit sollte der ja in einer Sandbox „verpackt“ sein. Ist das standardmäßig bzw. automatisch so oder muss ich erst noch etwas aktivieren?
Denn: Wenn ich z. B. etwas downloade kann ich in allen Ordnern (Home, Videos, Bilder, etc.) den Download abspeichern. Sollte das nicht anders sein, sprich der Browser hat gar keinen Zugriff auf diese oder nur auf die „Sandbox-Ordner“?
Noch eine allgemeine Frage zu den beiden: Wird der Inhalt der beiden „Stores“ (so nenne ich das jetzt mal ) eigentlich geprüft? Z. B. durch Canonical oder Flathub bei Einreichen der jeweiligen Software Prüfung des Quellcodes wie es z. B. bei F-Droid üblich ist usw.
Vielen Dank für eure Tipps!
von robertgoedl » Sa 10. Sep 2022, 21:43
Hallo P1xel
Gewisse Zugriffe werden je nach Software automatisch erlaubt - so etwa das Speichern von Dateien. Mit Flatseal lassen sich die Rechte übrigens speziell anpassen. Will man ganz sicher gehen - Firejail.
von No.6 » Sa 10. Sep 2022, 22:20
Frage zur Sicherheit und Sandbox Snap und
Flatpak
Da wäre zuerst einmal zu klären, was mit "Sicherheit" gemeint ist.
"Security" bezieht sich auf den Schutz vor Malware.
"Safety" bezieht sich auf Stabilität, also den Schutz vor dem "Zerschießen" eines Systems.
Und schließlich gibt es noch die "Privacy", das heißt ob und warum irgendwohin "telefoniert" wird.
Ob das "geprüft" wird? Gute Frage.
von robertgoedl » So 11. Sep 2022, 05:38
rockyracoon hat geschrieben: Sa 10. Sep 2022, 22:20
Frage zur Sicherheit und Sandbox Snap und
Flatpak
Ob das "geprüft" wird? Gute Frage.
Das ist wohl so eine Geschichte - im Snap-Store von Canonical, also von Ubuntu wurde auch schon Schadsoftware gefunden. Nicht direkt Schadsoftware, sondern Miner. Also Software, die etwa ohne dem Wissen des Nutzers nach digitalen Währungen schürft. Gefunden wurde diese jedoch nicht vom Betreiber - also grob umschrieben von Ubuntu, sondern von einem Nutzer.
Mehr dazu unter Heise.de.
von josefine » So 11. Sep 2022, 09:44
P1xel hat geschrieben: Sa 10. Sep 2022, 21:25
Noch eine allgemeine Frage zu den beiden: Wird der Inhalt der beiden „S
tores“ (so nenne ich das jetzt mal
) eigentlich geprüft? Z. B. durch
Canonical oder
Flathub bei Einreichen der jeweiligen Software Prüfung des
Quellcodes wie es z. B. bei F-Droid üblich ist usw.Vielen Dank für eure Tipps!
robertgoedl hat geschrieben: So 11. Sep 2022, 05:38
rockyracoon hat geschrieben: Sa 10. Sep 2022, 22:20
Frage zur Sicherheit und Sandbox Snap und
Flatpak
Ob das "geprüft" wird? Gute Frage.
Das ist wohl so eine Geschichte - im Snap-Store von Canonical, also von Ubuntu wurde auch schon Schadsoftware gefunden. Nicht direkt Schadsoftware, sondern Miner. Also Software, die etwa ohne dem Wissen des Nutzers nach digitalen Währungen schürft. Gefunden wurde diese jedoch nicht vom Betreiber - also grob umschrieben von Ubuntu, sondern von einem Nutzer.
Mehr dazu unter Heise.de.
Ich bin der Meinung das es eine Hunderprozentige Sicherheit nirgends geben kann.
Aber:
Der Vorteil einer Community ist der, das man dann doch relativ rasch etwaige "Schädlinge und Miner" findet.
Ich glaube auch nicht das Cannonical den Code von Firefox prüft bevor er freigegeben Wird. Die werden sich schon auf Mozilla verlassen ...
Bei kleineren Projekten könnte ich es mir schon vorstellen.
Die Frage ob Snap oder Flatpak die bessere Wahl ist wird man auch nie vollständig beantworten können. Jedes hat so seine Vor- und auch Nachteile.
von No.6 » So 11. Sep 2022, 16:18
...
Keine Prüfung auf Schadsoftware im S
tore
Der Snap S
tore von Ubuntu testet zwar die technische Lauffähigkeit einer Anwendung, verfügt aber über keine Prüfung auf versteckte Schadsoftware. Jeder kann Snap-
Pakete in den Snap S
tore hochladen.
...
Ubuntu führte sein
Paketformat Snap mit Version 16.04 seiner
Linux-
Distribution ein und versprach dadurch mehr Komfort durch Wegfall der Abhängigkeiten sowie mehr Sicherheit, weil eine Snap-Anwendung eigentlich abgeschottet in einer Sandbox läuft – was jedoch für
Desktop-
Snaps nicht ohne weiteres gilt.
...
Aus: https://www.heise.de/newsticker/meldung ... 48910.html
von No.6 » So 11. Sep 2022, 16:34
...
Flatpak ist insgesamt freier. Während
Snaps auf den Ubuntu S
tore beschränkt bleiben, finden sich die
Flatpak-
Pakete, die ursprünglich aus dem Labor von
Gnome/Fedora stammen, in diversen Reposi
tories.
...
Was die Sicherheit angeht, so ist
Flatpak unter Fedora 25 derzeit am sichersten: Hier kommt bereits
Wayland zum Einsatz und bietet eine abgesicherte Grundlage. Geht es um den Einsatz in möglichst vielen
Distributionen, erweist sich
Flatpak insgesamt als flexibler, was zu seiner derzeit weiteren Verbreitung gegenüber Snap geführt hat.
...
Generell entsteht der Eindruck, dass die neuen Systeme, auch falls sie sich weiter durchsetzen, herkömmliche Formate wie
DEB und
RPM auf absehbare Zeit nicht verdrängen können: In Sachen Sicherheit und vor allem Integrität haben die “Oldtimer” derzeit noch die
Nase vorn.
...
Aus: https://www.linux-community.de/ausgaben ... s
pakete/3/
von No.6 » So 11. Sep 2022, 16:38
...
AppImage hat zwar grob betrachtet die gleichen Ziele wie
Flatpak und Snap, jedoch gibt es entscheidende Unterschiede. So wird im Gegensatz zu den Mitbewerbern keine Installation einer Basis-Software vorausgesetzt.
AppImage verzichtet ebenfalls auf die bei
Flatpak eingesetzten Laufzeitumgebungen, die
desktopspezifisch oft benötige
Bibliotheken bündeln und somit verhindern, dass jedes
Paket alle benötigten Abhängigkeiten erneut mitbringen muss, auch wenn diese auf dem System bereits vorhanden sind.
...
AppImage verzichtet derzeit von Hause aus auf ein Sicherheitsmodell wie es
Flatpak und Snap in Form von Sandboxen bieten. Hier muss der Anwender noch selbst tätig werden und kann die Anwendungen beispielsweise in Firejail laufen lassen.
...
Aus: https://linuxnews.de/2020/02/appimage-d ... nte-wesen/
von No.6 » So 11. Sep 2022, 16:50
von No.6 » Mo 12. Sep 2022, 13:27
Als Recherche-Ergebnis lassen sich meiner Meinung nach folgende Schlußforgerungen zur Sicherheit ziehen:
(1) Bei der Frage nach Sicherheit sollte man sich nicht nur auf die Anbieter von Fremdsoftware und die Wachsamkeit der Community verlassen, sondern selbst für mehr Sicherheit sorgen.
(2) Wenn man Fremdsoftware verwendet, sollte man sich daher wie überhaupt beim Verwenden von Linux-Betriebssystemen zumindest rudimentäres Grundlagenwissen dazu aneignen: https://cstan.io/?p=13062)
(3) Als Alltags-Standard sollte man Pakete aus den offiziellen Repositories von Distributionen installieren. Fremdsoftware wie .deb-Pakete, .rpm-Pakete, AppImages, Flatpak oder Snap sollten nur als Zugabe dienen, wenn man unbedingt spezielle Programme, neuere Versionen einer Anwendung oder Treiber braucht, aber keineswegs generell ein natives Paket-Management dadurch ersetzen.
(4) Genauso wie Standardsoftware sollte man besonders Fremdpakete nie mit Root-Rechten öffnen.
(5) Sandboxing ist bei Fremdsoftware sinnvoll, man sollte sie aber nicht überbewerten und als völligen Schutz des Systems ansehen. Die Programme in einer Sandbox brauchen um funktionieren zu können schon die eine oder andere Berechtigung, welche unter Umständen Probleme bereiten kann.
Mit Flatseal (https://itsfoss.com/flatseal/) lassen sich einzelne Berechtigungen bei Flatpak verwalten.
Zumindest empfiehlt sich zusätzlich der Fenstermanager Wayland, da er neben dem Vorteil schlanker programmiert zu sein auch mehr Sicherheit bietet als X11, weil er grob gesagt die Anwendungsfenster besser gegeneinander abschottet (*).
Wer ganz sicher gehen will, sollte fragliche Programme grundsätzlich in Firejail öffnen.
(6) Zum Thema Privacy kann hier vielleicht jemand Anderes Etwas schreiben.
(*)...Wayland is also superior when it comes to security. With X11, it’s possible to do something known as “keylogging” by allowing any program to exist in the background and read what’s happening with other windows open in the X11 area.
This simply won’t happen with Wayland, as each program works independently.
...
Aus: https://linuxiac.com/xorg-x11-wayland-l ... explained/
von zebolon » Di 13. Sep 2022, 17:22
Eine Anmerkung zum Thema
Flatpak und Snap - unabhängig der Sicherheit - sei noch erlaubt:
In der Regel liegen die
Dateigrößen doch erheblich über dem von z. B.
DEB-
Paketen.
Am Beispiel vom
PDFArranger (liegt im offiziellen
Repository von
Debian usw. vor).
Möchte man die neue Version 1.8.2 (als
DEB-File verfügbar) installieren, beträgt die
Paketgröße ca. 112 kB zzgl. benötigter Abhängigkeiten.
Zum Vergleich: Die Flatpak-Version müllt einem den PC u. U. mit weit über 800 MB zu. Das steht in keinem Verhältnis.
Bei Snap-Paketen verhält es sich bei anderen Apps teilweise ähnlich.
Man sollte allein deshalb schon etwas umsichtig sein.
von No.6 » Di 13. Sep 2022, 18:03
@zebolon:
Nicht nur das. Es gibt viele wichtige Aspekte, welche ein Casual-User aber schlicht nicht lesen oder verarbeiten kann:
https://ludocode.com/blog/flatpak-is-not-the-future
...
All of these technologies are essentially building an entire OS* on top of another OS just to avoid the challenges of backwards compatibility. In doing so, they create far more problems than they solve.
...
Aus:
https://ludocode.com/blog/flatpak-is-not-the-future
* OS = operating system
Das bringt es für mich auf den Punkt
...
Alle diese Technologien erstellen im Grunde ein vollständiges Betriebs-System über einem anderen Betriebs-System, nur um die Herausforderungen der Abwärtskompatibilität zu vermeiden. Indem sie dies tun, erzeugen sie wesentlich mehr Probleme als sie lösen.
...
Meine Übersetzung aus:
https://ludocode.com/blog/flatpak-is-not-the-future
Was die Frage nach den aufgeblähten Containern betrifft, so kommt in der Regel als Gegenargument, dass die Runtimes verschiedener Flatpak-Programme gemeinsam benutzt würden, so dass die Last nur beim ersten Flatpak entstünde. Dagegen ist wiederum zu sagen, dass auch Flatpak verwendende Nutzer darauf hinweisen, dass man sein System nicht mit Flatpak-Programmen zupflastern, sondern diese vielmehr als Ausnahme betrachten sollte. Weiterhin nutzen viele Programme verschiedene Runtimes, zudem in unterschiedlichen Bibliotheks-Versionen, so dass der argumentierte „Spar-Effekt“ gering ist. Genauer beschreibt dies die von mir angegebene Quelle:
...
Sharing Runtimes?
Flatpak says this is so that apps can share runtimes. But the whole point of their runtime system is to let apps use different runtimes. Each branch of a runtime (representing, say, a different base version of Ubuntu) is a completely independent runtime image.
They claim that they deduplicate runtimes. I question how much can really be shared between different branches when everything is recompiled. How much has /usr changed between
releases of Ubuntu? I would guess just about all of it.
Steam at least fares somewhat better. The Soldier runtime is a 610 MB download, still large. But Steam only publishes a couple of official runtimes, so most games do actually share runtimes.
Flatpak allows anyone to define their own runtimes. free
desktop.org publishes some
Flatpak runtimes for common use, but these aren’t necessarily the ones apps are using. For example Fedora publishes apps with its own runtimes, and these are the ones available by default in its Software s
tore.
If you install GIMP in Fedora 34’s Software s
tore, it defau
lts to Fedora’s
Flatpak of GIMP. This pulls in Fedora 35’s 650 MB runtime, not any free
desktop.org runtime. Nothing will be shared with our free
desktop runtime KCalc we installed from
Flathub earlier. On my machine /var/lib/
flatpak is using over 3 GB of disk space for just these two apps.
This is apparently wor
king as intended. They want runtimes to be a free-for-all, filling your hard drive with gigabytes of custom junk for every app. I can’t imagine what system
updates will be like in the future when you have a few dozen apps s
toring tens of gigabytes of runtimes that all want to be kept up to date.
...
Aus:
https://ludocode.com/blog/flatpak-is-not-the-future
von bluestar » Mi 14. Sep 2022, 12:37
Ja so ist es. Flatpak ist Ergänzung - mehr nicht. Je älter ein aktuelles Debian Stable wird, desto grösser wird der Anteil von Flatpaks. Und da es ja die Möglichkeit gibt, das Zeug im Userverzeichnis zu installieren, juckt es mich auch nicht mehr sonderlich. Bei den Standard-Apps Firefox und Thunderbird liefert Debian ja seit einiger Zeit ziemlich zeitnah neuere Versionen. Prima! Telegram nutze ich ziemlich intensiv - dafür gibt es ja dann ein aktuelles Flatpak. Auch prima.
Was die Abschottung/Sicherheit angeht: Auf dem Mac gibt es die zu Firejail entsprechende (kostenintensive) Software "Little Snitch". War anfangs ganz interessant, mal zu sehen was da alles von aussen zugreift und wo die Datenströme eigentlich hingehen. Im produktiven Betrieb wurde die Spielerei aber schnell lästig - da dem Ding ja immerzu gesagt werden muss, was "rechtens" ist und was nicht. Man wird dann quasi ständig gezwungen als "Entscheidungsfinder" zu fungieren. Und das Gemeckere geht einem irgendwann auf den Senkel. Das hat seinen Grund, warum Apple das nicht von Haus aus mitliefert und aktiviert ...
Aus dem Grund finde ich es zwar gut, dass es sowas wie Little Snitch auch unter Linux gibt - für Test- und Lernzwecke - im produktiven Einsatz dürfte es allerdings keine grosse Rolle spielen. Aus obengenannten Gründen. Linux-Entsprechungen schaffen es auch meistens nicht, technischen Hintergrund in eine ansprechende GUI zu verpacken.
Viel mehr Sinn würde eine vernünftige Firewall schon auf Router-Ebene machen. pfSense mit Suricata z.B. Es ist sehr interessant zu sehen, wieviele verseuchte Windowsrechner, aber auch auch immer wieder Androiden in einem Hotel (Also viele wechselnde Nutzer im WLAN) durch Suricata geblockt werden müssen. Unglaublich. Auch Botschleudern waren schon dabei. Und selbst hier flutscht immer wieder alle paar Jahre einer durch, weil die Signaturen für ein IDS niemals aktuell sein können. Es gibt also keine 100% Sicherheit. Niemals. Aber ob im Privatbereich so ein Aufwand auch schon notwendig ist?
Wäre dem tatsächlich so, würden die meistverkauften Router im Heimbereich, die Fritzboxen ein sich selbst aktuell haltendes Network Intrusion Detection System beinhalten. Tun sie bislang nicht. Und mich als Linux User zwingt ja keiner irgendeine Software aus Fremdquellen zu installieren. Das potentielle Risiko gehe ich eben ein oder nicht.
von zebolon » Do 15. Sep 2022, 23:18
P1xel hat geschrieben: Do 15. Sep 2022, 14:58
zebolon hat geschrieben: Di 13. Sep 2022, 17:22 Eine Anmerkung zum Thema
Flatpak und Snap - unabhängig der Sicherheit - sei noch erlaubt:
In der Regel liegen die
Dateigrößen doch erheblich über dem von z. B.
DEB-
Paketen.
[...]
Zum Vergleich: Die
Flatpak-Version müllt einem den PC u. U. mit weit über 800 MB zu. Das steht in keinem Verhältnis.
Danke für den Hinweis, dass die so viel Speicherplatz verbrauchen.
Wenn wir schon dabei sind – gibt es für Snap und Flatpak denn „Clean-Kommandos“, welche alte Teile oder Caches etc. entfernt (analog z. B. apt autoremove oder apt autoclean)?
Als erstes verschaffst Du Dir mal eine Übersicht der installierten Flatpaks mit Eingabe im Terminal:
flatpak --columns=name,size list
Mit dem Terminal-Befehl:
flatpak list -d --app --runtime
kann man sich zudem die zugehörigen "runtimes" mal ansehen.
Längere Zeit unbenützte Flatpaks werden hiermit ermittelt:
flatpak uninstall --unused
In meinem Beispiel sind es Themes, die ich nicht mehr benötige und schon lange nicht mehr verwendet wurden und deshalb hier aufgelistet und getrost deinstalliert werden können. Den Vorgang mit "Y" bestätigen.
Die ausgewählten Flatpaks und deren Abhängigkeiten sind damit gelöscht.
Verbliebene Cache-Dateien werden mit folgenden Befehl:
sudo rm -rfv /var/tmp/flatpak-cache-*
im Terminal gelöscht.
Ein erneuter Aufruf von:
flatpak uninstall --unused
zeigt, es gibt momentan nichts zu tun.
Zu Snap: Eine hilfreiche Seite findest Du hier https://wiki.ubuntuusers.de/snap/
