Я смотрю на запуск Jitsi на Debian. Из соображений безопасности я хочу изолировать Jitsi от остальной части системы. Я мог бы использовать виртуальную машину, но я хочу более легкое решение. Поэтому я посмотрел на sudo/pkexec против Firefail.
Для pkexec это то, что я сделал:
useradd --system -s /usr/sbin/nologin -d /home/jitsi jitsi
pkexec -u jitsi env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY /usr/bin/jitsi %u
Я настроил iptables для пользователя jitsi
Это работает за исключением предупреждения:
"could not determine how to handle %u"
Примечание: если я удаляю% u, команда вообще не работает и Jitsi зависает при загрузке.
Другой подход заключается в использовании Firejail как в
$ firejail jitsi
Я выбрал firejail, потому что он рекламирует себя для своей безопасности по сравнению с другими контейнерами.
Firejail, похоже, не работает с Jitsi, но давайте пока проигнорируем это.
Каковы различия с точки зрения безопасности между двумя подходами. Каковы плюсы и минусы sudo/pkexec для системного пользователя по сравнению с песочницей с использованием Firejail? Буду признателен за разъяснения по этому вопросу.