「Firejail」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(同期)
10行目: 10行目:
 
==設定==
 
==設定==
   
Firejail は実行するアプリケーションごとにプロファイルを使います。デフォルトのプロファイルは {{ic|/etc/firejail/profiles}} にあります。デフォルトのプロファイルを修正したり、デフォルトに含まれていないアプリケーションのカスタムプロファイルを作成する場合、{{ic|~/.config/firejail}} に新しいルールやデフォルトのコピーを配置することができます。
+
Firejail は実行するアプリケーションごとにプロファイルを使います。デフォルトのプロファイルは {{ic|/etc/firejail/''application''.profile}} にあります。デフォルトのプロファイルを修正したり、デフォルトに含まれていないアプリケーションのカスタムプロファイルを作成する場合、{{ic|~/.config/firejail}} に新しいルールやデフォルトのコピーを配置することができます。
  +
  +
===空白が含まれるパス===
  +
  +
カスタムプロファイルを使ってディレクトリを参照したりホワイトリスト・ブラックリストに入れる場合、以下のように絶対パスを使ってください (例: {{aur|palemoon}}): {{ic|/home/user/.moonchild productions}}。
   
 
==使用方法==
 
==使用方法==
33行目: 37行目:
 
====デスクトップファイル====
 
====デスクトップファイル====
   
標準のパスを使わないアプリケーションも存在します。そのようなアプリケーションでは {{ic|/usr/share/applications/*.dekstop}} の {{ic|.desktop}} ランチャーを {{ic|~/.local/share/applications/}} にコピーして EXEC 行に firejail (や seccomp) を記述すれば firejail を使うことができます。
+
標準のパスを使わないアプリケーションも存在します。そのようなアプリケーションでは {{ic|/usr/share/applications/*.desktop}} の {{ic|.desktop}} ランチャーを {{ic|~/.local/share/applications/}} にコピーして EXEC 行に firejail (や seccomp) を記述すれば firejail を使うことができます。
   
 
====デーモン====
 
====デーモン====
   
デーモンの場合、initscript編集して直接 firejail 呼び出すようにしてください。
+
デーモンの場合、デーモンの systemd ユニットファイル上書きして firejail 呼び出すようにしてください。[[systemd#ユニットファイルの編集]]を参照
   
 
====ノート====
 
====ノート====
48行目: 52行目:
   
 
Firejail を使用するための GUI アプリケーションが存在します: {{aur|firetools}}。
 
Firejail を使用するための GUI アプリケーションが存在します: {{aur|firetools}}。
  +
  +
==トラブルシューティング==
  +
  +
===PulseAudio===
  +
  +
Firejail で PulseAudio が上手く動作しないという [https://firejail.wordpress.com/support/known-problems/ 既知の問題] が存在します。一時的に解決する方法:
  +
  +
{{hc|1=cp /etc/pulse/client.conf ~/.config/pulse/
  +
|2=echo "enable-shm = no" >> ~/.config/pulse/client.conf}}

2016年5月21日 (土) 14:26時点における版

Firejail は Linux の名前空間や seccomp-bpf、Linux のケイパビリティを使うことで、信頼のおけないアプリケーションの実行環境を制限することでセキュリティのリスクを減らす、使いやすい SUID サンドボックスプログラムです。単体で使えるだけでなく、Grsecurity などの他のカーネル防護システムと一緒に使用することでセキュリティをさらに高めることができます。Firejail はブラウザやデスクトップアプリケーション、デーモン/サーバーなどで使うのに適しています。

インストール

firejailAUR または firejail-gitAUR パッケージをインストールしてください。使用するのに必要なものが全て入っています。

設定

Firejail は実行するアプリケーションごとにプロファイルを使います。デフォルトのプロファイルは /etc/firejail/application.profile にあります。デフォルトのプロファイルを修正したり、デフォルトに含まれていないアプリケーションのカスタムプロファイルを作成する場合、~/.config/firejail に新しいルールやデフォルトのコピーを配置することができます。

空白が含まれるパス

カスタムプロファイルを使ってディレクトリを参照したりホワイトリスト・ブラックリストに入れる場合、以下のように絶対パスを使ってください (例: palemoonAUR): /home/user/.moonchild productions

使用方法

firejail で seccomp を使ってアプリケーションを実行するには (例: Firefox)、以下を実行:

$ firejail --seccomp firefox

プライベートモード

Firejail にはワンタイムのプライベートモードも存在します。プライベートモードでは chroot でホームディレクトリのマウントがされません。ディスクに何の痕跡も残さないでアプリケーションを実行することが可能です。例えば、Firefox をプライベートモードで実行するには、以下を実行:

$ firejail --seccomp --private firefox

デフォルトで Firejail を使う

コンソールや .desktop ファイルからアプリケーションを起動している場合、それぞれのアプリケーションのランチャーを /usr/local/bin に作成することができます。例えば、Firefox なら以下のファイルを作成して実行可能権限を付与してください:

/usr/local/bin/firefox
firejail --seccomp /usr/bin/firefox $@

デスクトップファイル

標準のパスを使わないアプリケーションも存在します。そのようなアプリケーションでは /usr/share/applications/*.desktop.desktop ランチャーを ~/.local/share/applications/ にコピーして EXEC 行に firejail (や seccomp) を記述すれば firejail を使うことができます。

デーモン

デーモンの場合、デーモンの systemd ユニットファイルを上書きして firejail を呼び出すようにしてください。systemd#ユニットファイルの編集を参照。

ノート

Firejail では上手く動作しないアプリケーションや、特別な設定を必要とするアプリケーションが存在します。特定のアプリケーションで全てのディレクトリが使用できない、ブラックリストに入れられている場合、プロファイルを編集してアプリケーションからアクセスする必要がある非標準のディレクトリを有効化してください。例えば Wine がそれに当てはまります。Wine は大抵の場合 seccomp を使用していると動作しません。

他の設定も存在します。firejail の開発は変更が激しいので詳しくは firejail の man ページを参照してください。

Firetools

Firejail を使用するための GUI アプリケーションが存在します: firetoolsAUR

トラブルシューティング

PulseAudio

Firejail で PulseAudio が上手く動作しないという 既知の問題 が存在します。一時的に解決する方法:

cp /etc/pulse/client.conf ~/.config/pulse/
echo "enable-shm = no" >> ~/.config/pulse/client.conf