69445f444f91110597c9614724ed8c9fb589bcc3
[bubblebox.git] / profiles.py
1 from bubblebox import *
2
3 # Various default sandbox settings
4 DEFAULT = group(
5   # namespace unsharing
6   # cannot unshare IPC as that breaks some wine applications
7   bwrap_flags("--unshare-user", "--unshare-pid", "--unshare-cgroup"),
8   # A different hostname is useful to be able to see when we are inside the sandbox.
9   # However, some applications will not like this unless the hostname also exists in `/etc/hosts`!
10   bwrap_flags("--unshare-uts", "--hostname", "bubblebox"),
11   # Make sure the sandbox cannot inject commands into the host terminal.
12   # TODO: This flag breaks some CLI applications, like job control in shells.
13   # Consider using SECCOMP instead.
14   # Possible code to use for that: <https://gist.github.com/sloonz/4b7f5f575a96b6fe338534dbc2480a5d#file-sandbox-py-L129>
15   # There is also a good list of possible-syscalls-to-block at
16   # <https://github.com/flatpak/flatpak/blob/f16e064fd9454fb8f754b769ad1ffce0e42b51db/common/flatpak-run.c#L1791>.
17   bwrap_flags("--new-session"),
18   # basic directories
19   bwrap_flags("--proc", "/proc", "--dev", "/dev", "--dir", "/tmp", "--dir", "/var", "--dir", "/run", "--symlink", "../run", "/var/run"),
20   # an empty XDG_RUNTIME_DIR
21   bwrap_flags("--perms", "0700", "--dir", XDG_RUNTIME_DIR),
22   # merged-usr symlinks
23   bwrap_flags("--symlink", "usr/lib", "/lib", "--symlink", "usr/lib64", "/lib64", "--symlink", "usr/bin", "/bin", "--symlink", "usr/sbin", "/sbin"),
24   # folders we always need access to
25   host_access({ ("/usr", "/sys", "/etc"): Access.Read }),
26   # make a basic shell work
27   home_access({
28     (".bashrc", ".bash_aliases", ".profile"): Access.Read,
29     "bin": Access.Read,
30   }),
31 )
32
33 # https://github.com/igo95862/bubblejail is a good source of paths that need allowing.
34 # We do not give access to pipewire, that needs a portal (https://docs.pipewire.org/page_portal.html).
35 def DESKTOP(name):
36   return group(
37     DEFAULT,
38     # Share XDG_RUNTIME_DIR among all instances of this sandbox
39     shared_runtime_dir(name),
40     # Access to screen and audio
41     host_access({
42       "dev": {
43         ("dri", "snd"): Access.Device,
44       },
45       "/tmp/.X11-unix/": Access.Read,
46       os.environ["XAUTHORITY"]: Access.Read,
47       XDG_RUNTIME_DIR: {
48         ("wayland*", "pulse"): Access.Read,
49       },
50     }),
51     # Access to some key user configuration
52     home_access({
53       (".config/fontconfig", ".XCompose", ".local/share/applications"): Access.Read,
54     }),
55     # Access to basic d-bus services (that are hopefully safe to expose...)
56     dbus_proxy_flags("--talk=org.kde.StatusNotifierWatcher.*", "--talk=org.freedesktop.Notifications.*", "--talk=org.freedesktop.ScreenSaver.*", "--talk=org.freedesktop.portal.*"),
57     # Make it possible to open websites in Firefox
58     home_access({ ".mozilla/firefox/profiles.ini": Access.Read }),
59     dbus_proxy_flags("--talk=org.mozilla.firefox.*"),
60   )