sudo/pkexec vs sandbox: различия и плюсы / минусы

Я смотрю на запуск Jitsi на Debian. Из соображений безопасности я хочу изолировать Jitsi от остальной части системы. Я мог бы использовать виртуальную машину, но я хочу более легкое решение. Поэтому я посмотрел на sudo/pkexec против Firefail.

Для pkexec это то, что я сделал:

useradd --system -s /usr/sbin/nologin -d /home/jitsi jitsi

pkexec -u jitsi env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY /usr/bin/jitsi %u

Я настроил iptables для пользователя jitsi

Это работает за исключением предупреждения:

"could not determine how to handle %u"

Примечание: если я удаляю%u, команда вообще не работает и Jitsi зависает при загрузке.

Другой подход заключается в использовании Firejail как в

$ firejail jitsi

Я выбрал firejail, потому что он рекламирует себя для своей безопасности по сравнению с другими контейнерами.

Firejail, похоже, не работает с Jitsi, но давайте пока проигнорируем это.

Каковы различия с точки зрения безопасности между двумя подходами. Каковы плюсы и минусы sudo/pkexec для системного пользователя по сравнению с песочницей с использованием Firejail? Буду признателен за разъяснения по этому вопросу.

0 ответов

Другие вопросы по тегам