Arch Linux による非特権 LXC コンテナを使用したブラウザ/IM アプリケーションのセキュリティ隔离ガイド

ウェブブラウザや Electron ベースの即時通信（IM）アプリには追加のセキュリティ層が必要です。ブラウザが侵害されると、ユーザーのホームディレクトリ全体がリスクにさらされる可能性があるためです。LXC（Linux コンテナ） を使用してホストシステムとアプリケーションを隔離しましょう。

本手順書では Arch Linux を対象としていますが、他のディストリビューションでも容易に適応可能です。

1. ネットワーク機能の設定

まず、LXC のインストールと事前設定を行います。

パッケージのインストール

必要なパッケージ（

lxc

lxcfs

# pacman -S lxc lxcfs

ブリッジインターフェースの作成

コンテナにネットワーク機能を提供するために、以下のコマンドで LXC サービスを有効化・起動します：

# systemctl enable lxc-net.service --now

これで

lxcbr0

# ip a show dev lxcbr0

2. コンテナの作成と構成

設定ファイルの生成

初期設定を

/etc/lxc/

www.conf

# mkdir -p /etc/lxc
# nano /etc/lxc/www.conf

/etc/lxc/www.conf

lxc.net.0.type = veth
lxc.net.0.link = lxcbr0
lxc.net.0.flags = up
lxc.net.0.hwaddr = 10:66:6a:xx:xx:xx
lxc.idmap = u 0 100000 65536
lxc.idmap = g 0 100000 65536

idmap

の仕組みについて

コンテナ内の UID/GID をホスト上の存在しない ID 範囲へマッピングすることで、権限のない（unprivileged）コンテナを実現します。

• 目的: 悪意のあるプロセスがコンテナから脱出しても、ホストシステム上で意味のある権限を持つことができないように保証するため。

マッピング詳細 (

idmap

)

lxc.idmap = [type] [container_id] [host_id] [range]

[type]

u

g

[container_id]

0

[host_id]

100000

[range]

65536

マッピング例: コンテナ内の UID 0 は、ホスト上の UID 100000 として認識されます。ID は順序的に増加します（例：コンテナ ID 1 → ホスト ID 100001）。

/etc/subuid

および

/etc/subgid

の編集

LXC にマッピングを通知するために、以下の行を追加します：

root:100000:65536

これは、ホストユーザー

root

100000–165535

3. コンテナの起動と利用

コンテナ作成（ダウンロード方式）

ベースイメージとして

debian:trixie

# lxc-create --config /etc/lxc/www.conf --name www -t download \
    -d debian -r trixie -a amd64

稼働確認とログイン

コンテナの起動状況を以下で確認し、ログインします：

# lxc-ls -f
# lxc-attach www /bin/bash

ソフトウェアのインストール

コンテナ内で標準的な Linux システムのようにパッケージを管理できます（例：Firefox のインストール）。

# apt update
# apt-get -y install firefox-esr

デフォルトユーザーの作成

多くの X11 アプリケーションはルート権限では正しく動作しません。専用のユーザーを作成してください：

# /sbin/useradd -m -s /bin/bash www

4. X11 の設定と描画

X11 ソケットのマッピングにより、コンテナ内でホストのデスクトップアプリを動作させます。

.Xauthority

ファイルの処理

単なるファイルのマウントでは認証に失敗するため、クッキーエントリのファミリフィールドをワイルドカード (

ffff

# :0 をあなたの $DISPLAY 値に置き換えてください
echo : > /tmp/lxc.Xauthority && xauth nlist :0 | \
    sed 's/^..../ffff/' | xauth -f /tmp/lxc.Xauthority nmerge -

コンテナ設定への追加

作成時ではなく、コンテナ固有の設定（

/var/lib/lxc/www/config

lxc.environment = XAUTHORITY=/tmp/lxc.Xauthority
lxc.environment = DISPLAY=:0

lxc.mount.entry = /tmp/.X11-unix tmp/.X11-unix none bind,optional,create=dir,ro
lxc.mount.entry = /tmp/lxc.Xauthority tmp/lxc.Xauthority none bind,optional,create=file,ro

注意: 作成した UID マッピングにより、コンテナ内の UID 0 はホスト UID 100000 にマッピングされますが、

.Xauthority

root

• 簡易解決策: コピーされたファイルをワールド読み取り可能にする。

chmod 644 /tmp/lxc.Xauthority

GPU パススルー（オプション）

ハードウェアアクセラレーションが必要な場合、

/dev/dri

# lxc-create ... の後に config に追加
lxc.mount.entry = /dev/dri dev/dri none bind,optional,create=dir

ブラウザの起動

準備が整えば、以下のようにブラウザを実行し、ホストデスクトップに表示できます：

# lxc-start www
# lxc-attach www -- su www -c firefox

5. オーディオの設定

PipeWire を使用して PulseAudio 互換性を確保し、サウンドを転送します。

プラグインとソケットの準備

コンテナ内でオーディオパッケージをインストールします：

# apt-get -y install pulseaudio pipewire-pulse

PipeWire に専用の PulseAudio ソケットを開くように指示するため、以下の設定を加えます： ファイル:

~/.config/pipewire/pipewire-pulse.conf

pulse.properties = {
    # ... 既存のデフォルトを保持する ...
    server.address = [
        "unix:native"
        "unix:/tmp/pulse-socket-0"
    ]
}

サービスリロードとソケットの確認：

systemctl --user restart pipewire-pulse
ls -l /tmp/pulse-socket-0

コンテナ設定への追加

以下の行をコンテナ設定に追加し、PULSE_SERVER を指定します：

lxc.environment = PULSE_SERVER=unix:/tmp/pulse-socket-0

lxc.mount.entry = /tmp/pulse-socket-0 tmp/pulse-socket-0 none bind,optional,create=file,ro

セキュリティ注釈: 音声ソケットは通常ワールドアクセシブルであるため、

.Xauthority

chmod

6. セキュリティと結論

これにより、表示とサウンドがホストから転送された非特権 LXC コンテナ内で GUI アプリケーションを実行できるようになりました。

隔離の効果

• ブラウザ侵害時のリスク低下: ブラウザが侵害されても、影響範囲は「未使用の ID 範囲を持つコンテナ」に限定されます。ホームディレクトリやシステム構成ファイルは安全です。

注意点と限界

• 開いたドア: X ソケット、PulseAudio ソケット、GPU など、透過させる各機能はセキュリティの「穴」になります。
• 権限の問題: オーディオソケットなど、コンテナ内のプロセスがホストリソースをキャプチャできる可能性があります（例：音声の録音）。
• 最小化の原則: アプリケーションに必要な機能だけを転送し、余計なものは除外することが重要です。

結論

この構成はブラウザだけでなく、あらゆる信頼性の低い GUI アプリケーションに適用可能です。さらに

seccomp

AppArmor