sudo / pkexec vs sandbox: отличия и плюсы / минусы

321
balia

Я смотрю на запуск Jitsi на Debian. Из соображений безопасности я хочу изолировать Jitsi от остальной части системы. Я мог бы использовать виртуальную машину, но я хочу более легкое решение. Поэтому я посмотрел на sudo / pkexec против Firefail.

Для pkexec это то, что я сделал:

useradd --system -s /usr/sbin/nologin -d /home/jitsi jitsi  pkexec -u jitsi env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY /usr/bin/jitsi %u 

Я настроил iptables для пользователя jitsi

Это работает за исключением предупреждения:

"could not determine how to handle %u" 

Примечание: если я удаляю% u, команда вообще не работает и Jitsi зависает при загрузке.

Другой подход заключается в использовании Firejail как в

$ firejail jitsi 

Я выбрал firejail, потому что он рекламирует себя для своей безопасности по сравнению с другими контейнерами.

Firejail, похоже, не работает с Jitsi, но давайте пока проигнорируем это.

Каковы различия с точки зрения безопасности между двумя подходами. Каковы плюсы и минусы sudo / pkexec для системного пользователя по сравнению с песочницей с использованием Firejail? Буду признателен за разъяснения по этому вопросу.

0

0 ответов на вопрос

Похожие вопросы