这是一个创建于 338 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天帮人看故障,现象是 firefox 无法把/opt/data/ (一个单独 mount 的 RAID 卷)作为下载目录
错误信息是刚访问到/opt/层就已经 permission denied 了
首先 777 ,没修复
然后看日志,发现是 apparmor
修改了 snap.firefox.firefox 的 apparmor profile ,加 rw ,加 audit ,能捕捉到 firefox 访问/opt/的痕迹,并且授权,但浏览器看不到里面现有的文件
想了好久,终于去看了一下/proc/XXX/mounts
发现这个 RAID 卷居然 mount 在了/var/lib/snapd/hostfs/opt/data/目录上了
错误信息是刚访问到/opt/层就已经 permission denied 了
首先 777 ,没修复
然后看日志,发现是 apparmor
修改了 snap.firefox.firefox 的 apparmor profile ,加 rw ,加 audit ,能捕捉到 firefox 访问/opt/的痕迹,并且授权,但浏览器看不到里面现有的文件
想了好久,终于去看了一下/proc/XXX/mounts
发现这个 RAID 卷居然 mount 在了/var/lib/snapd/hostfs/opt/data/目录上了
 | 1 codehz 338 天前  1 这玩意应该用了命名空间一类的吧,snap 的问题不应该看 snap 的帮助的吗, 用 snap connect firefox:removable-media 应该就可以访问了 |
 | 3 pagxir 338 天前 via Android snap 就一垃圾设计,Ubuntu 还一直无脑的推 |
| 6 codehz 337 天前 1 @julyclyde 仔细想实际上是按路径来的 https://github.com/canonical/snapd/blob/96fc2c65715a91853c899c41c29c53ad7aad5cf8/cmd/snap-confine/mount-support.c#L965-L993 写死了只有特定路径可以访问(其中一部分受到 removable-media 权限管控(只有/media 和/mnt ,/opt 都不算 你看到的 hostfs 这个,实际上应该是在命名空间里使用了 pivot_root 切换主目录出来的,虽然挂载被继承了,但不代表能访问到,命名空间里整个/opt 根本不是实际的 opt 建议改挂载点到/mnt 或者/media 里的子目录 也有一个替代方法,定制一个 https://snapcraft.io/docs/system-files-interface 的规则,然后允许 ff 使用 |
Select Language