profiles.py

   1 from bubblebox import *
   2
   3 # Various default sandbox settings
   4 DEFAULT = collect_flags(
   5   # namespace unsharing
   6   # cannot unshare IPC as that breaks some wine applications
   7   bwrap_flags("--unshare-user", "--unshare-pid", "--unshare-cgroup"),
   8   # A different hostname is useful to be able to see when we are inside the sandbox.
   9   # However, some applications will not like this unless the hostname also exists in `/etc/hosts`!
  10   bwrap_flags("--unshare-uts", "--hostname", "bubblebox"),
  11   # basic directories
  12   bwrap_flags("--proc", "/proc", "--dev", "/dev", "--dir", "/tmp", "--dir", "/var", "--dir", "/run", "--symlink", "../run", "/var/run"),
  13   # an empty XDG_RUNTIME_DIR
  14   bwrap_flags("--perms", "0700", "--dir", XDG_RUNTIME_DIR),
  15   # merged-usr symlinks
  16   bwrap_flags("--symlink", "usr/lib", "/lib", "--symlink", "usr/lib64", "/lib64", "--symlink", "usr/bin", "/bin", "--symlink", "usr/sbin", "/sbin"),
  17   # folders we always need access to
  18   host_access({ ("/usr", "/sys", "/etc"): Access.Read }),
  19   # make a basic shell work
  20   home_access({
  21     (".bashrc", ".bash_aliases", ".profile"): Access.Read,
  22     "bin": Access.Read,
  23   }),
  24 )
  25
  26 # https://github.com/igo95862/bubblejail is a good source of paths that need allowing.
  27 # We do not give access to pipewire, that needs a portal (https://docs.pipewire.org/page_portal.html).
  28 def DESKTOP(name):
  29   return collect_flags(
  30     DEFAULT,
  31     # Share XDG_RUNTIME_DIR among all instances of this sandbox
  32     shared_runtime_dir(name),
  33     # Access to screen and audio
  34     host_access({
  35       "dev": {
  36         ("dri", "snd"): Access.Device,
  37       },
  38       "/tmp/.X11-unix/": Access.Read,
  39       os.environ["XAUTHORITY"]: Access.Read,
  40       XDG_RUNTIME_DIR: {
  41         ("wayland*", "pulse"): Access.Read,
  42       },
  43     }),
  44     # Access to some key user configuration
  45     home_access({
  46       (".config/fontconfig", ".XCompose", ".local/share/applications"): Access.Read,
  47     }),
  48     # Access to basic d-bus services (that are hopefully safe to expose...)
  49     dbus_proxy_flags("--talk=org.kde.StatusNotifierWatcher.*", "--talk=org.freedesktop.Notifications.*", "--talk=org.freedesktop.ScreenSaver.*", "--talk=org.freedesktop.portal.*"),
  50     # Make it possible to open websites in Firefox
  51     home_access({ ".mozilla/firefox/profiles.ini": Access.Read }),
  52     dbus_proxy_flags("--talk=org.mozilla.firefox.*"),
  53   )