Wie kann ich Flatpak-Anwendungen den Zugriff auf bestimmte Systemressourcen erlauben oder verweigern?
- Grundprinzip der Berechtigungen bei Flatpak
- Zugriffsrechte anzeigen
- Berechtigungen hinzufügen oder entfernen
- Weitere Berechtigungen kontrollieren
- Beispiel: Netzwerkzugriff verbieten
- Zusammenfassung
Flatpak ist ein System zur Paketierung und Verteilung von Desktop-Anwendungen unter Linux, das Anwendungen in einer Sandbox isoliert. Dies bedeutet, dass Flatpak-Apps standardmäßig nur eingeschränkten Zugriff auf Systemressourcen haben, um die Systemsicherheit zu erhöhen. Allerdings gibt es Situationen, in denen eine Anwendung Zugriff auf bestimmte Ressourcen wie zum Beispiel Netzwerk, Dateien oder Geräte benötigt. Glücklicherweise erlaubt Flatpak das gezielte Erteilen oder Verweigern von Zugriffsrechten auf diese Ressourcen.
Grundprinzip der Berechtigungen bei Flatpak
Jede Flatpak-Anwendung läuft in einer Sandbox und besitzt eine Reihe von sogenannten "Permissions" (Berechtigungen), welche definieren, welche Systemressourcen genutzt werden dürfen. Diese Berechtigungen können entweder in der Manifest-Datei der Anwendung festgelegt sein oder nach der Installation von Nutzern verändert werden. Die Steuerung erfolgt über sogenannte --filesystem-, --device-, --socket-Optionen und weitere Einstellungen.
Zugriffsrechte anzeigen
Um herauszufinden, welche Berechtigungen eine installierte Flatpak-Anwendung aktuell hat, verwendet man den Befehl flatpak info --show-permissions . Die Anwendungs-ID ist dabei der Identifikator der Flatpak-App, zum Beispiel org.gnome.Calculator. Dadurch bekommt man eine Übersicht der aktuell erlaubten Zugriffe.
Berechtigungen hinzufügen oder entfernen
Um den Zugriff einer Anwendung auf bestimmte Ressourcen zu erlauben oder zu verweigern, wird der Befehl flatpak override verwendet. Dieser erlaubt es, Rechte temporär oder dauerhaft anzupassen, ohne die Anwendung neu installieren zu müssen. Zum Beispiel kann man mit flatpak override --user --filesystem=home org.gnome.Calculator der Anwendung den Zugriff auf das Home-Verzeichnis erlauben. Möchte man den Zugriff jedoch verbieten, kann man flatpak override --user --filesystem=none org.gnome.Calculator ausführen, um den Dateisystemzugriff vollständig zu sperren.
Die Änderung via flatpak override betrifft entweder den aktuellen Nutzer (--user) oder das gesamte System (--system), dabei sind für systemweite Änderungen meist Administratorrechte erforderlich. Außerdem ist es möglich, Berechtigungen differenziert zu setzen, z.B. nur auf ein bestimmtes Verzeichnis mit --filesystem=/pfad/zum/verzeichnis oder mehrere Pfade zu erlauben, indem man sie mit Kommas trennt.
Weitere Berechtigungen kontrollieren
Abgesehen vom Dateisystemzugriff können auch andere Ressourcen kontrolliert werden, zum Beispiel den Netzwerkzugriff mit --nofilesystem=host oder --share=network. Ebenso können Zugriff auf Soundkarten, USB-Geräte oder Sitzungsinformationen geregelt werden. Der Befehl flatpak override bietet hierfür viele Optionen, die in der offiziellen Dokumentation ausführlich beschrieben sind. Somit lässt sich das Sicherheitsniveau genau an die eigenen Bedürfnisse anpassen.
Beispiel: Netzwerkzugriff verbieten
Wenn Sie einer Flatpak-App den Netzwerkzugriff verbieten möchten, können Sie den Befehl flatpak override --user --nofilesystem=host --unshare=network verwenden. Damit wird der Zugriff auf das Netzwerk unterbunden, während andere Zugriffe weiter möglich bleiben, sofern nicht ebenfalls eingeschränkt.
Zusammenfassung
Flatpak-Anwendungen werden standardmäßig in einer Sandbox mit begrenzten Rechten ausgeführt. Um gezielten Zugriff auf Systemressourcen zu erlauben oder zu verweigern, nutzt man den Befehl flatpak override, mit dessen Hilfe Berechtigungen wie Dateisystemzugriff, Netzwerkzugang oder Gerätefreigaben individuell angepasst werden können. So lässt sich die Balance zwischen Funktionalität und Sicherheit effektiv steuern.