(Debian 9.5 stretch + KDE 5 にて)
[概要]
サンドボックスでソフトを実行する firejailと firetoolsを入れてみた。
[インストール]
Stretch stableのパッケージは0.9.44...だけど、本家 https://firejail.wordpress.com/download-2/ から firejail_0.9.56_1_amd64.deb firetools_0.9.52_1_amd64.deb をダウンロード、$ sudo dpkg -i XXX.debでインストール。
[firejail 使用例]
・ターミナルから
$ firejail firefox
この状態でfirefoxを使ってファイルダウンロード先に注意。firejailの標準設定(profile)で閉じられているディレクトリにダウンロードするとfirefox終了とともにファイルが消えてしまう。
$ firejail --private firefox
ホームディレクトリをサンドボックス化。firefoxは、設定、アドオン、ブックマークなど全く白紙状態で起動。
$ firejail --x11 xcalc
XpraかXephyrのインストールが必要。
あらかじめの設定は/etc/filejail/XXX.profileにあって、順次増やしているとのこと。
・$ sudo firecfg した場合 (/usr/bin/firecfg)。
/usr/lib/firejail/firecfg.config に記載された名前と同じコマンドは、firejailを通したシンボリックとして /usr/local/binに置かれる。ターミナルで $ firefox しようと、kickoffのメニューからをクリックしようと、firejailのサンドボックス状態で起動する。
( https://firejail.wordpress.com/features-3/man-firecfg/ )
$ firecfg --list リンクのを見る
$ sudo firecfg --clean シンボリックリンクを消す
firecfgのせいで? KDE-dolphinの検索で日本語(ibus+mozc)が使えなくなった。これは、/etc/filejail/dolphin.profile の内容変更すればよいのかも。kconsoleのbashも同じく。
[firetools 使用例]
(当方では) Kickoff→アプリケーション→システム→Firetools でFiretools Launcher が立ち上がる。予め、整合性があるソフトはアイコンが表示されているので、ダブルクリックすればサンドボックス状態で立ち上がる。
(firetoolsはバージョンによって機能が違う。)
ランチャーの左上アイコンをダブルクリックでFiretoolsのウインドウが開き、起動したソフトのPID (Process ID)が表示され、クリックすることで、CPU、メモリやネット(IPv6)状態わかる(うちは未だにIPv4なので設定不明)。ウインドウ上部のメニューからサンドボックス起動ソフトとサウンドボックス領域をShutdownできる。
追記
Firetools Launcher にソフトを追加する。
waterfox(firefoxモドキ)を追加した例
waterfoxの実体は /usr/local/bin/waterfox/にあるwaterfox。
Firetools Launcherの空いたところで右クリック→Edit
Name: waterfox
Description: Internet browser
Command firejail /usr/local/bin/waterfox/waterfox
ランチャーへのアイコンは、~/.config/firetools/ にアイコン画像をwaterfox名で置けば自動で表示される (例 Waterfox.pngやmozicon128.png名では表示しない)。アイコン表示のもう一つの方法は、 ~/.config/firetools/waterfox.desktop を開いて Icon=/usr/local/bin/waterfox/browser/icons/mozicon128.png と直接指定する。