sudo / pkexec vs sandbox: Diferenças e vantagens / desvantagens

0

Eu estou olhando para rodar o Jitsi no Debian. Por motivos de segurança, quero isolar o Jitsi do resto do sistema. Eu poderia usar uma VM, mas quero uma solução mais leve. Então eu olhei para o sudo / pkexec vs. Firefail.

Para pkexec , foi o que fiz:

useradd --system -s /usr/sbin/nologin -d /home/jitsi jitsi

pkexec -u jitsi env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY /usr/bin/jitsi %u

Eu ajustei o iptables para o usuário jitsi

Isso funciona, exceto pelo aviso:

"could not determine how to handle %u"

Nota: Se eu remover% u, o comando não funciona e o Jitsi congela durante o carregamento.

A outra abordagem é usar Firejail como em

$ firejail jitsi

Eu escolhi a firejail porque ela se anuncia por sua segurança em relação a outros containers.

Firejail não parece funcionar com o Jitsi, mas vamos ignorar isso por enquanto.

Quais são as diferenças do ponto de vista da segurança entre as duas abordagens? Quais são os prós e contras do sudo / pkexec para um usuário do sistema versus o sandbox usando o Firejail? Eu apreciaria algum esclarecimento sobre este assunto.

    
por balia 20.09.2018 / 18:38

0 respostas