bubblewrap
関連記事
bubblewrap は Flatpak から発展した軽量な setuid サンドボックスアプリケーションです。インストール容量が小さくリソース要件は最小限です。アプリケーションパッケージ自体は bubblewrap と呼ばれますが、実際の実行バイナリや man ページで使われている名前は bwrap(1) です。bubblewrap は将来的に Tor Browser (Linux 版) の サンドボックス機構 として使われることが期待されています。特徴として cgroup/IPC/マウント/ネットワーク/PID/ユーザー/UTS 名前空間や seccomp フィルタリングをサポートしています。bubblewrap はサンドボックス内の全てのケイパビリティを破棄して子タスクが親以上の権限を得られないようにします。ファイルパスベースのブラックリストやホワイトリストは対応していません。
目次
インストール
bubblewrap または bubblewrap-gitAUR をインストールしてください。
設定
bubblewrap はコマンドラインから直接起動したり、複雑なラッパー に含まれる シェルスクリプト で呼び出すことができます。サンドボックス内の /var や /etc を自動的に読み取り専用に設定する Firejail などのアプリケーションと違って、bubblewrap はそのような操作を行いません。サンドボックス化したいアプリケーションにあわせてどのような設定オプションを指定するかはユーザー次第です。setuid 特権で実行された場合でも bubblewrap は自動的にユーザー名前空間を作成しないので $HOME や $USER などの環境変数を利用することが可能です。
strace をダウンロードして、サンドボックス化しようとしているプログラムがどのファイルにアクセスする必要があるかを確認することを強くお勧めします。
bubblewrap の設定マネージャー
引数を手動で設定する代わりに、設定マネージャーを使用して、単純な設定から自動的に bubblewrap を構成できます。
Bubblejail — リソースベースのパーミッションモデルを備えた bubblewrap ベースのサンドボックス (パーミッションを微調整するための GUI を提供)
Crabjail — Simple bubblewrap launcher
使用例
bubblewrap の使用例については、Bubblewrap/例 を参照してください。また bubblewrap を一般的なアプリケーションに使用する方法を示すさまざまなプロジェクトがあります。
No-op
以下のように何もせずに bubblewrap を呼び出すことができます:
$ bwrap --dev-bind / / bash
サンドボックスの外のように振る舞う bash プロセスが生成されます。サンドボックス化したプログラムがおかしくなってしまう場合、上記の no-op から段々と設定をセキュアにしていくことができます。
Bash
シンプルな Bash のサンドボックスを作成:
- 利用可能なカーネル名前空間を確認:
$ ls /proc/self/ns cgroup ipc mnt net pid user uts
$ bwrap --ro-bind / / --unshare-user --uid 256 --gid 512 bash bash-4.4$ id uid=256 gid=512 groups=512,65534(nobody) bash-4.4$ ls -l /usr/bin/bash -rwxr-xr-x 1 nobody nobody 811752 2017-01-01 04:20 /usr/bin/bash
デスクトップエントリ
デスクトップエントリ に Bubblewrap を活用:
- サンドボックスの
/ディレクトリにホストの/etcディレクトリ全体を読み書き可能にバインドする。 - サンドボックスの
/varと/etcディレクトリを読み込み専用に再バインドする。 - サンドボックスの
/devに新しい devtmpfs ファイルシステムをマウントする。 - サンドボックス内の
/runディレクトリに tmpfs ファイルシステムを作成する。 - 新しいネットワークネームスペースを作成してネットワークアクセスを無効にする。
[Desktop Entry] Name=nano Editor Exec=bwrap --bind / / --dev /dev --tmpfs /run --unshare-net st -e nano -o . %f Type=Application MimeType=text/plain;
mupdf.shシェルラッパーを組み込んだ MuPDF デスクトップエントリの例:
[Desktop Entry] Name=MuPDF Exec=mupdf.sh %f Icon=application-pdf.svg Type=Application MimeType=application/pdf;application/x-pdf;
ファイルシステムの分離
ファイルシステムの内容 (/var、/usr/bin、/usr/lib など) をさらに非表示にし、ソフトウェアをインストールすると、pacman に Arch パッケージを分離されたファイルシステムツリーにインストールさせることができます。
pacman を使用してソフトウェアをファイルシステムツリーにインストールするには、fakeroot と fakechroot をインストールする必要があります。
pacman を使用して分離されたファイルシステムツリーに xterm パッケージをインストールする場合、次のようにツリーを準備する必要があります:
$ MYPACKAGE=xterm
$ mkdir -p ~/sandboxes/${MYPACKAGE}/files/var/lib/pacman
$ mkdir -p ~/sandboxes/${MYPACKAGE}/files/etc
$ cp /etc/pacman.conf ~/sandboxes/${MYPACKAGE}/files/etc/pacman.conf
~/sandboxes/${MYPACKAGE}/files/etc/pacman.conf を編集して、使用する pacman 設定を調整することもできます:
- 不要なカスタムリポジトリや
IgnorePkg,IgnoreGroup,NoUpgrade,NoExtract設定を削除してください。 - pacman がディスクスペースのチェックでルートファイルシステムを見つけるのにエラーがあっても無視するように、
CheckSpaceオプションを削除する必要があるかもしれません。
次に、base グループを必要な fakeroot とともに分離ファイルシステムツリーにインストールします:
$ fakechroot fakeroot pacman -Syu \
--root ~/sandboxes/${MYPACKAGE}/files \
--dbpath ~/sandboxes/${MYPACKAGE}/files/var/lib/pacman \
--config ~/sandboxes/${MYPACKAGE}/files/etc/pacman.conf \
base fakeroot
同じオプションを指定して bubblewrap を繰り返し呼び出すことになるため、エイリアスを作成します:
$ alias bw-install='bwrap \
--bind ~/sandboxes/${MYPACKAGE}/files/ / \
--ro-bind /etc/resolv.conf /etc/resolv.conf \
--tmpfs /tmp \
--proc /proc \
--dev /dev \
--chdir / '
~/sandboxes/${MYPACKAGE}/files/etc/locale.gen を 編集 し、次を実行して ロケール を設定する必要があります:
$ bw-install locale-gen
Then set up pacman’s keyring:
$ bw-install fakeroot pacman-key --init $ bw-install fakeroot pacman-key --populate
次に、pacman のキーリングを設定します:
$ bw-install fakeroot pacman -S ${MYPACKAGE}
ここで pacman コマンドが失敗した場合は、キーリングを設定するコマンドを再度実行してみてください。
これで、xterm を含む分離されたファイルシステムツリーが完成しました。bw-install を再度使用して、ファイルシステムツリーをアップグレードできます。
これで、bubblewrap を使用してソフトウェアを実行できるようになります。この場合、command は xterm である必要があります。
$ bwrap \
--ro-bind ~/sandboxes/${MYPACKAGE}/files/ / \
--ro-bind /etc/resolv.conf /etc/resolv.conf \
--tmpfs /tmp \
--proc /proc \
--dev /dev \
--chdir / \
command
一部のファイルはパッケージ間で共有できることに注意してください。既存の親ファイルシステムツリーのすべてのファイルにハードリンクして、新しいツリーで再利用できます:
$ cp -al ~/sandboxes/${MYPARENTPACKAGE} ~/sandboxes/${MYPACKAGE}
次に、bw-install fakechroot fakeroot pacman ... から pacman を呼び出して、通常どおりインストールを続行します。
トラブルシューティング
X11 を使う
ホストの X11 ソケットを別の X11 ソケットにバインドマウントしても上手く行かないことがあります:
--bind /tmp/.X11-unix/X0 /tmp/.X11-unix/X8 --setenv DISPLAY :8
ホストの X11 ソケットをサンドボックス内の同じソケットにバインドマウントすることで解決します:
--bind /tmp/.X11-unix/X0 /tmp/.X11-unix/X0 --setenv DISPLAY :0
X11 のサンドボックス化
bwrap はアプリケーションをサンドボックス化するための素晴らしい隔離機能を備えていますが、X11 ソケットにアクセスできてしまえば簡単に離脱することができます。X11 にはアプリケーション間の分離が存在しないためセキュリティ的に危険です。サンドボックスから X サーバーにアクセスできないようにする方法として Wayland コンポジタに切り替える方法があります。
また、xpra や xephyr を使って新しい X11 環境で実行させるという方法もあります。この方法で bwrap を使うこともできます。
X11 の隔離化をテストするには、xinput test <id> を実行してください (<id> は xinput list で確認できるキーボード ID に置き換えてください)。X11 が分離化されていない場合、X11 にアクセスできるアプリケーションはキーロガーのように他のアプリケーションのキーボード入力を盗聴することができてしまいます。
ポータルの使用
回避策 を使用すると、XDG デスクトップ ポータル を使用してプログラムをサンドボックス化できます。主な利点はファイルシステムポータルで、プログラムにホームディレクトリへのアクセス権を与えず、ファイルにアクセスできるようにします。ただし、セキュリティ上の理由から ポータルを使用するには、サンドボックス化されたプログラムが Flatpak の一部であると xdg-desktop-portal に認識させる必要があります。これは、サンドボックスのルートファイルシステムに .flatpak-info ファイルを追加することで可能です。
さらに、アクセスできるポータルをより細かく制御するには、xdg-dbus-proxy を実行する必要があります。これはサンドボックス環境で実行する必要があるため、.flatpak-info ファイルも必要です。少なくとも、プロキシには org.freedesktop.portal.Flatpak へのトークアクセスが必要です。追加のポータルは flatpak.org/en/latest/portal-api-reference.html Flatpak ドキュメント で見つけることができます。
一般的な使用例は、プログラムがホームディレクトリに 100% アクセスできないように制限し、代わりにユーザーが選択したファイルとフォルダのみにアクセスできるようにすることです。これを実現するには、次の引数を使用して xdg-dbus-proxy を起動できます:
--talk=org.freedesktop.portal.Documents --talk=org.freedesktop.portal.Flatpak --talk=org.freedesktop.portal.Desktop --talk=org.freedesktop.portal.FileChooser
完全な例:
APP_NAME=app.application.Name
APP_FOLDER="$XDG_RUNTIME_DIR/app/$APP_NAME"
mkdir -p "$APP_FOLDER"
set_up_dbus_proxy() {
bwrap \
--new-session \
--symlink /usr/lib64 /lib64 \
--ro-bind /usr/lib /usr/lib \
--ro-bind /usr/lib64 /usr/lib64 \
--ro-bind /usr/bin /usr/bin \
--bind "$XDG_RUNTIME_DIR" "$XDG_RUNTIME_DIR" \
--ro-bind-data 3 "/.flatpak-info" \
--die-with-parent \
-- \
env -i xdg-dbus-proxy \
"$DBUS_SESSION_BUS_ADDRESS" \
"$APP_FOLDER/bus" \
--filter \
--log \
--talk=org.freedesktop.portal.Flatpak \
--call="org.freedesktop.portal.Desktop=org.freedesktop.portal.Settings.Read@/org/freedesktop/portal/desktop" \
--broadcast="org.freedesktop.portal.Desktop=org.freedesktop.portal.Settings.SettingChanged@/org/freedesktop/portal/desktop" 3<<EOF
[Application]
name=$APP_NAME
EOF
}
set_up_dbus_proxy &
sleep 0.1
bwrap \
...
--ro-bind-data 3 /.flatpak-info \
...
3<<EOF
[Application]
name=$APP_NAME
EOF
ラッピングしたアプリケーションから URL を開く
ラッピングした IRC やメールクライアントで URL を開くと、起動するブラウザプロセスも同じサンドボックス内で動作します。アプリケーションの分離が強固な場合、うまく機能しないことがあります。Firejail では ラッピングしたアプリケーションにブラウザと同じ権限を与える ことで解決しますが、パーミッションがゆるくなってしまいます。
開いた URL をサンドボックスの外と通信するほうが良手です。以下のように snapd-xdg-open を使ってください:
- snapd-xdg-open-gitAUR をインストール
bwrapコマンドラインで以下を追加:
$ bwrap ... \ --ro-bind /run/user/$UID/bus /run/user/$UID/bus \ --ro-bind /usr/lib/snapd-xdg-open/xdg-open /usr/bin/xdg-open \ --ro-bind /usr/lib/snapd-xdg-open/xdg-open /usr/bin/chromium \ ...
/usr/bin/chromium のバインドは Mozilla Thunderbird など XDG に準拠していないプログラムでのみ必要です。
新規セッション
TIOCSTI にはサンドボックスから脱出できるセキュリティ問題が存在します (CVE-2017-5226)。この問題に対応するために、bubblewrap には setsid() を呼び出す新しいオプション '--new-session' が追加されています。ただしこのオプションはときとして扱いにくい挙動上の問題を起こすことがあります。例えば bwrap コマンドでシェルのジョブ制御が機能しなくなります。
可能であればオプションを使用することが推奨されていますが、そうでない場合は別の方法で問題を解決することが推奨されます。例えば flatpak は SECCOMP を使用します: https://github.com/flatpak/flatpak/commit/902fb713990a8f968ea4350c7c2a27ff46f1a6c4
ネストされた名前空間
Chromium などの特定のアプリケーションは、suid ヘルパーファイルを使って独自のサンドボックス環境をすでに実装しています。この仕組みは、bubblewrap container 内で実行されるとブロックされます。
1つの解決策は、アプリケーションに bubblewrap によって作成された名前空間を使用させることです。これは zypakAUR によって実現できます。これは flatpak でも使われていて、追加の名前空間の中で電子ベースのアプリを実行します。Chromium/Electron で zypak を使用する方法を示すサンプルコードは [1] で見ることができます。