Bubblejailのソースを表示

[[Category:サンドボックス]]
[[en:Bubblejail]]
{{Related articles start}}
{{Related|Bubblewrap}}
{{Related|セキュリティ}}
{{Related articles end}}
[https://github.com/igo95862/bubblejail Bubblejail] は、[[Bubblewrap]] ベースのサンドボックスユーティリティです。

Bubblejail はリソース指向のパーミッションモデルを持っています。例えば、[[x11]] はサンドボックスに追加することができるリソースです。これにより、サンドボックスは X11 ディスプレイサーバにアクセスできるようになります。

Bubblejail はまた、セキュリティと許可モデルを強化するために seccomp と D-Bus フィルタリングを使用しています。

Bubblejailは、サンドボックスの作成と設定を可能にするグラフィカルなインターフェイスも備えています。

== インストール ==

{{AUR|bubblejail}} または {{AUR|bubblejail-git}} をインストールして下さい。

== 使い方 ==

Bubblejail のサンドボックスは、インスタンスに分離されています。各インスタンスは、独立したホームディレクトリとパーミッションの設定です。

各インスタンスは通常1つのアプリケーションをサンドボックス化します。

=== インスタンスの作成 ===

新しいインスタンスは、通常、利用可能なプロファイルから作成されます。プロファイルは、使用するデスクトップエントリとパーミッションの初期セットです。特定のアプリケーションにプロファイルがない場合、{{ic|generic}} プロファイルまたは空のプロファイルを使用し、作成後に微調整することが可能です。

{{Note|使用するプロファイルは、初期のパーミッションのセットを決定します。パーミッションは作成後、自由に変更することができます。}}

==== グラフィカルインターフェイスの使用 ====

''Bubblejail Configuration'' アプリケーションを実行します。最初の画面の下の方に、Create Instance というボタンがあります。

==== コマンドラインの使用 ====

たとえば、[[Firefox]] インスタンスを作成するには:

 $ bubblejail create --profile firefox ''instance_name''

=== 実行中のインスタンス ===

==== デスクトップエントリの使用 ====

インスタンスを作成すると、{{ic|--no-desktop-entry}} オプションが使用されていない限り [[デスクトップエントリ]] が生成されます。

デスクトップエントリーは ''インスタンス名 bubble'' の名前を持ち、デスクトップ環境から起動することができます。

==== コマンドラインの使用 ====

作成されたインスタンスは {{ic|run}} サブコマンドで実行できます:

 $ bubblejail run ''instance_name'' ''args''

引数が渡されない場合、使用されるプロファイルに基づいてデフォルトの引数が使用されます。

''args'' が渡された場合、その引数はサンドボックス内で実行されます。最初の引数はバイナリ名で、次の引数はこのバイナリに渡されます。

== 設定 ==

インスタンスが作成されると、そのパーミッションとリソースを変更することができます。変更されたパーミッションを有効にするには、サンドボックスを再起動する必要があります。

サンドボックスの作成時に使用したプロファイルは、初期のパーミッションのセットにのみ影響します。しかし、特定のパーミッションを削除すると、対象となるアプリケーションが正しく動作しなくなる場合があります。

=== グラフィカルインターフェイスの使用 ===

''Bubblejail Configuration'' アプリケーションを実行します。最初の画面で、変更したいサンドボックスの名前をクリックします。すると、利用可能なすべての権限のリストと保存ボタンが表示されます。

=== コマンドラインの使用 ===

Bubblejail では、設定ファイルを {{ic|edit}} [[環境変数]] で定義されたエディタで開く {{ic|EDITOR}} コマンドが提供されています。

 $ bubblejail edit ''instance_name''

Bubblejailは、その設定に [https://toml.io/en/ TOML] を使用しています。定義された辞書は特定のリソースに対するパーミッションを与え、辞書内のキー・バリュー・ペアは特定のリソースの設定を行います。

例えば:

{{bc|1=[x11]

[home_share]
home_paths = [ "Downloads",]
}}

この設定はサンドボックスが利用できる2つのリソース、[[x11]] ウィンドウ システムとホームフォルダ内の ''ダウンロード'' ディレクトリを共有することを定義しています。

利用可能なサービスとオプションは {{ic|bubblejail.services}} に記述されています。[[man|manページ]] にあります。

== Tips and tricks ==

=== Running terminal inside sandbox ===

Using {{ic|run}} command a terminal can be launched inside already running sandbox. The terminal can be used to debug the sandbox.

It is recommended to use the terminal application that requires minimal amount of permissions such as [[Alacritty]] which only requires access to windowing system. (either [[x11]] or [[wayland]])

 $ bubblejail run ''instance_name'' alacritty

=== Re-using profile for similar applications ===

If an application is missing a profile but there is a related software with existing profile that profile can be used.

For example, {{ic|chromium}} profile can be used on any chromium derived browser such as [[qutebrowser]].

First, generate the instance using {{ic|chromium}} profile but disable the desktop entry creation.

 $ bubblejail create --no-desktop-entry --profile chromium qutebrowser

Now a desktop entry can be created from the qutebrowser's [[desktop entry]].

 bubblejail generate-desktop-entry --desktop-entry /usr/share/applications/org.qutebrowser.qutebrowser.desktop qutebrowser

Now the sandboxed qutebrowser can be launched with '''qutebrowser bubble''' desktop entry.

== See also ==

* [https://github.com/igo95862/bubblejail Bubblejail home page]