Firejail

(Debian 9.5 stretch + KDE 5 にて)

[概要]
サンドボックスでソフトを実行する firejailと firetoolsを入れてみた。

[インストール]
Stretch stableのパッケージは0.9.44...だけど、本家 https://firejail.wordpress.com/download-2/ から firejail_0.9.56_1_amd64.deb firetools_0.9.52_1_amd64.deb をダウンロード、$ sudo dpkg -i XXX.debでインストール。

[firejail 使用例]

・ターミナルから

$ firejail firefox

この状態でfirefoxを使ってファイルダウンロード先に注意。firejailの標準設定(profile)で閉じられているディレクトリにダウンロードするとfirefox終了とともにファイルが消えてしまう。

$ firejail --private firefox

ホームディレクトリをサンドボックス化。firefoxは、設定、アドオン、ブックマークなど全く白紙状態で起動。

$ firejail --x11 xcalc

XpraかXephyrのインストールが必要。

あらかじめの設定は/etc/filejail/XXX.profileにあって、順次増やしているとのこと。

・$ sudo firecfg した場合 (/usr/bin/firecfg)。

/usr/lib/firejail/firecfg.config に記載された名前と同じコマンドは、firejailを通したシンボリックとして /usr/local/binに置かれる。ターミナルで $ firefox しようと、kickoffのメニューからをクリックしようと、firejailのサンドボックス状態で起動する。
( https://firejail.wordpress.com/features-3/man-firecfg/ )

$ firecfg --list リンクのを見る
$ sudo firecfg --clean シンボリックリンクを消す

firecfgのせいで？ KDE-dolphinの検索で日本語(ibus+mozc)が使えなくなった。これは、/etc/filejail/dolphin.profile の内容変更すればよいのかも。kconsoleのbashも同じく。

[firetools 使用例]
(当方では) Kickoff→アプリケーション→システム→Firetools でFiretools Launcher が立ち上がる。予め、整合性があるソフトはアイコンが表示されているので、ダブルクリックすればサンドボックス状態で立ち上がる。
(firetoolsはバージョンによって機能が違う。)

ランチャーの左上アイコンをダブルクリックでFiretoolsのウインドウが開き、起動したソフトのPID (Process ID)が表示され、クリックすることで、CPU、メモリやネット(IPv6)状態わかる(うちは未だにIPv4なので設定不明)。ウインドウ上部のメニューからサンドボックス起動ソフトとサウンドボックス領域をShutdownできる。

追記
Firetools Launcher にソフトを追加する。

waterfox(firefoxモドキ)を追加した例
waterfoxの実体は /usr/local/bin/waterfox/にあるwaterfox。

Firetools Launcherの空いたところで右クリック→Edit
Name: waterfox
Description: Internet browser
Command firejail /usr/local/bin/waterfox/waterfox

ランチャーへのアイコンは、~/.config/firetools/ にアイコン画像をwaterfox名で置けば自動で表示される (例 Waterfox.pngやmozicon128.png名では表示しない)。アイコン表示のもう一つの方法は、 ~/.config/firetools/waterfox.desktop を開いて Icon=/usr/local/bin/waterfox/browser/icons/mozicon128.png と直接指定する。