В Ubuntu 26.04 LTS обновили механизм, который запрашивает у пользователя разрешения для snap-приложений. Оливер Кальдер из команды snapd в Canonical рассказал, что в новой версии переработаны диалоги и появилась поддержка интерфейса audio-record — через него приложения запрашивают доступ к микрофону. Функция по-прежнему помечена как экспериментальная, но запросы стали реже, а контроль над разрешениями — точнее. Те же улучшения через snap-обновления получают и пользователи Ubuntu 24.04 LTS и 25.10.
Зачем нужны запросы разрешений
Snap-пакеты по умолчанию работают в собственной песочнице с минимальным набором ресурсов. Чтобы выйти за её пределы, snap подключается к стандартным интерфейсам — home для домашнего каталога, camera для веб-камеры и так далее. Часть таких интерфейсов помечена как автоподключаемые: для них соединение устанавливается прямо при установке пакета, без участия пользователя.
Интерфейс в snap — именованный канал доступа к ресурсу системы (файлам, камере, сети, аудио). У интерфейса две стороны: слот предоставляет ресурс, плаг (plug) его потребляет. Соединения описывает разработчик в файле snapcraft.yaml, а snapd при установке пакета переводит их в правила AppArmor.
Когда механизм запросов включён, автоподключения нет: на каждый доступ приложения к защищённому ресурсу всплывает диалог. Пользователь решает, разрешить или запретить, на какой срок и — для отдельных интерфейсов — к каким именно файлам или каталогам. Например, графическому редактору можно открыть не весь каталог ~/Pictures, а только подкаталог ~/Pictures/MySpecialFolder, и только PNG-файлы в нём.
Что изменилось в Ubuntu 26.04 LTS
Запросы разрешений впервые появились в Ubuntu 24.10. В 25.10 снизили частоту повторных запросов, ввели временные правила, действующие до выхода из системы, и распространили запросы на интерфейс камеры.
В Ubuntu 26.04 LTS — переработанные диалоги и поддержка интерфейса audio-record, через который приложения запрашивают захват звука с микрофона или другого источника. Чтобы это заработало, в WirePlumber, по словам Кальдера, потребовались «нетривиальные изменения».
Параллельно команда snapd работает над тем, чтобы перенести связанные с запросами разрешений функции ядра из Ubuntu в основную ветку Linux. Это позволит использовать механизм и за пределами Ubuntu.
Клиент запросов разрешений и панель управления распространяются как snap-пакеты и обновляются независимо от системы. Поэтому новый интерфейс audio-record и переработанные диалоги доступны не только в 26.04 LTS, но и в Ubuntu 24.04 LTS и 25.10.
Как работает запрос разрешений
Разрешения для snap-пакетов и пакетов deb в Ubuntu отслеживает AppArmor. Допустимые операции описаны в профиле приложения. Если разрешающего правила нет, AppArmor перехватывает операцию и передаёт запрос демону snapd.
Snapd сверяется с базой правил запросов разрешений. Если подходящее правило есть, ответ возвращается сразу; если нет — snapd запускает клиент запросов и показывает пользователю диалог. После выбора пользователя snapd создаёт правило для будущих обращений и передаёт решение обратно в AppArmor. Весь обмен укладывается в доли секунды.
По словам Кальдера, такой подход даёт пользователю «дополнительный уровень контроля и уверенности в том, что приложения на его системе делают только то, что им разрешено». Управлять выданными разрешениями можно в приложении «Центр безопасности»; более широкий набор системных переключателей — в «Параметры» -> «Приложения».
Как включить
В Ubuntu 26.04 LTS запросы разрешений включаются в приложении «Центр безопасности». В Ubuntu 24.04 LTS сначала нужно установить snap-пакет:
sudo snap install security-center
Затем открыть «Центр безопасности» и включить запросы разрешений. Отключить их можно в любой момент.
Запросы появляются только для snap-приложений. Часть пакетов deb управляется через AppArmor, а Flatpak использует XDG-порталы — некоторыми из них можно управлять в «Параметры» -> «Приложения».
Заключение
Под контролем пользователя в Ubuntu 26.04 LTS теперь не только файлы и веб-камера, но и микрофон, а сами диалоги стали менее назойливыми. Пользователям 24.04 LTS и 25.10 для этого не нужно ждать обновления системы: достаточно установить snap-пакет «Центра безопасности». Когда механизм включат по умолчанию для всех пользователей, в Canonical пока не уточняют — компания обещает добавлять функции в следующих циклах разработки.