Eu estou olhando para rodar o Jitsi no Debian. Por motivos de segurança, quero isolar o Jitsi do resto do sistema. Eu poderia usar uma VM, mas quero uma solução mais leve. Então eu olhei para o sudo / pkexec vs. Firefail.
Para pkexec , foi o que fiz:
useradd --system -s /usr/sbin/nologin -d /home/jitsi jitsi
pkexec -u jitsi env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY /usr/bin/jitsi %u
Eu ajustei o iptables para o usuário jitsi
Isso funciona, exceto pelo aviso:
"could not determine how to handle %u"
Nota: Se eu remover% u, o comando não funciona e o Jitsi congela durante o carregamento.
A outra abordagem é usar Firejail como em
$ firejail jitsi
Eu escolhi a firejail porque ela se anuncia por sua segurança em relação a outros containers.
Firejail não parece funcionar com o Jitsi, mas vamos ignorar isso por enquanto.
Quais são as diferenças do ponto de vista da segurança entre as duas abordagens? Quais são os prós e contras do sudo / pkexec para um usuário do sistema versus o sandbox usando o Firejail? Eu apreciaria algum esclarecimento sobre este assunto.