Bubblejail
関連記事
Bubblejail は、Bubblewrap ベースのサンドボックスユーティリティです。
Bubblejail はリソース指向のパーミッションモデルを持っています。例えば、x11 はサンドボックスに追加することができるリソースです。これにより、サンドボックスは X11 ディスプレイサーバにアクセスできるようになります。
Bubblejail はまた、セキュリティと許可モデルを強化するために seccomp と D-Bus フィルタリングを使用しています。
Bubblejailは、サンドボックスの作成と設定を可能にするグラフィカルなインターフェイスも備えています。
目次
インストール
bubblejailAUR または bubblejail-gitAUR をインストールして下さい。
使い方
Bubblejail のサンドボックスは、インスタンスに分離されています。各インスタンスは、独立したホームディレクトリとパーミッションの設定です。
各インスタンスは通常1つのアプリケーションをサンドボックス化します。
インスタンスの作成
新しいインスタンスは、通常、利用可能なプロファイルから作成されます。プロファイルは、使用するデスクトップエントリとパーミッションの初期セットです。特定のアプリケーションにプロファイルがない場合、generic プロファイルまたは空のプロファイルを使用し、作成後に微調整することが可能です。
グラフィカルインターフェイスの使用
Bubblejail Configuration アプリケーションを実行します。最初の画面の下の方に、Create Instance というボタンがあります。
コマンドラインの使用
たとえば、Firefox インスタンスを作成するには:
$ bubblejail create --profile firefox instance_name
実行中のインスタンス
デスクトップエントリの使用
インスタンスを作成すると、--no-desktop-entry オプションが使用されていない限り デスクトップエントリ が生成されます。
デスクトップエントリーは インスタンス名 bubble の名前を持ち、デスクトップ環境から起動することができます。
コマンドラインの使用
作成されたインスタンスは run サブコマンドで実行できます:
$ bubblejail run instance_name args
引数が渡されない場合、使用されるプロファイルに基づいてデフォルトの引数が使用されます。
args が渡された場合、その引数はサンドボックス内で実行されます。最初の引数はバイナリ名で、次の引数はこのバイナリに渡されます。
設定
インスタンスが作成されると、そのパーミッションとリソースを変更することができます。変更されたパーミッションを有効にするには、サンドボックスを再起動する必要があります。
サンドボックスの作成時に使用したプロファイルは、初期のパーミッションのセットにのみ影響します。しかし、特定のパーミッションを削除すると、対象となるアプリケーションが正しく動作しなくなる場合があります。
グラフィカルインターフェイスの使用
Bubblejail Configuration アプリケーションを実行します。最初の画面で、変更したいサンドボックスの名前をクリックします。すると、利用可能なすべての権限のリストと保存ボタンが表示されます。
コマンドラインの使用
Bubblejail では、設定ファイルを edit 環境変数 で定義されたエディタで開く EDITOR コマンドが提供されています。
$ bubblejail edit instance_name
Bubblejailは、その設定に TOML を使用しています。定義された辞書は特定のリソースに対するパーミッションを与え、辞書内のキー・バリュー・ペアは特定のリソースの設定を行います。
例えば:
[x11] [home_share] home_paths = [ "Downloads",]
この設定はサンドボックスが利用できる2つのリソース、x11 ウィンドウ システムとホームフォルダ内の ダウンロード ディレクトリを共有することを定義しています。
利用可能なサービスとオプションは bubblejail.services に記述されています。manページ にあります。
Tips and tricks
Running terminal inside sandbox
Using run command a terminal can be launched inside already running sandbox. The terminal can be used to debug the sandbox.
It is recommended to use the terminal application that requires minimal amount of permissions such as Alacritty which only requires access to windowing system. (either x11 or wayland)
$ bubblejail run instance_name alacritty
Re-using profile for similar applications
If an application is missing a profile but there is a related software with existing profile that profile can be used.
For example, chromium profile can be used on any chromium derived browser such as qutebrowser.
First, generate the instance using chromium profile but disable the desktop entry creation.
$ bubblejail create --no-desktop-entry --profile chromium qutebrowser
Now a desktop entry can be created from the qutebrowser's desktop entry.
bubblejail generate-desktop-entry --desktop-entry /usr/share/applications/org.qutebrowser.qutebrowser.desktop qutebrowser
Now the sandboxed qutebrowser can be launched with qutebrowser bubble desktop entry.