• Home
  • Categories
  • WIKI
  • LANGUAGE: en
    • [Feelings & Sharing] 一般用户能安装、卸载应用商店软件,这不行吧?
    deepin Talks 636 views · 7 replies ·
    Tofloor
    poster avatar
    donaldsebleung
    deepin
    2023-01-25 08:42
    Author

    刚才的帖子说过,创建一个名叫 Guest 的一般用户并启用免密登录能大致上模拟「访客帐户」功能,但测试了一下,还真不能这么说~

    deepin 下一般用户没有 sudo 权限,所以不能直接调用 apt 安装卸载软件,这符合预期;可是,让我大吃一惊的是,一般用户竟然不用提权,能直接从深度应用商店任意安装卸载软件!而且由于 deepin 20.8 商店的源都是 deb 包,这等于允许一般用户对系统本身进行删改了

    这不禁让我想,倘若有黑客在我系统上取得一般用户的权限,是否能利用应用商店非法提权从而攻击系统本身?scream

    总之我用过其他的发行版,没有一个能让一般用户透过 GUI 商店安装、卸载软件的,除非是为单个用户安装的 Flatpak 软件(flatpak install --user)之类的,不对系统本身造成影响的

    建议 deepin 23 玲珑包如果支持类似于 flatpak install --user 的单用户软件安装模式,就只让一般用户以这样的方式安装卸载软件,一律禁用其他的软件安装、卸载方式,免得给黑客一个非法提权的途径

    Reply Favorite View the author
    All Replies
    神末shenmo
    deepin
    Spark-App
    Q&A Team
    2023-01-25 09:00
    #1

    应用商店上架的应用都经过了审核,不含有恶意内容

    实际上,除了白名单应用之外,所有商店应用不允许在安装时执行指令,所以是安全的

    Reply View the author
    辉夜
    deepin
    2023-01-25 19:17
    #2

    商店本来就不用提权,很正常的需求吧。能入侵一般用户,那应该也能入侵管理员账户吧

    Reply View the author
    wlly-lzh
    deepin
    2023-01-25 21:08
    #3

    楼主的意思应该是觉得一般用户不应该有用应用商店安装卸载软件的权限吧。

    apt和sudo都禁了,应用商店确实不应该有权限,不然和没禁apt没有别了。

    不过可以使用应用商店应不是什么大问题,重点是能不能安装deb包?

    Reply View the author
    Hibanaw
    deepin
    2023-01-25 21:52
    #4

    之后用上玲珑就可以避免这个问题了吧,商店软件的安装卸载都不会对系统层依赖造成影响

    Reply View the author
    Lwh2008-Equinox
    deepin
    2023-01-25 22:35
    #5
    神末shenmo

    应用商店上架的应用都经过了审核,不含有恶意内容

    实际上,除了白名单应用之外,所有商店应用不允许在安装时执行指令,所以是安全的

    没有control只有data吗?

    Reply View the author
    安洛
    deepin
    2023-01-26 00:13
    #6
    wlly-lzh

    楼主的意思应该是觉得一般用户不应该有用应用商店安装卸载软件的权限吧。

    apt和sudo都禁了,应用商店确实不应该有权限,不然和没禁apt没有别了。

    不过可以使用应用商店应不是什么大问题,重点是能不能安装deb包?

    商店只能安装商店源里面的软件,偷偷换掉安装包都不行。

    apt就宽松多了。

    Reply View the author
    152******14
    deepin
    2023-01-26 02:00
    #7

    你想多了,你都不信自己了

    Reply View the author