История изменений
Исправление KivApple, (текущая версия) :
Как минимум нужно запускать разные бекэнды от разных пользователей, хранить их данные в разных каталогах и проследить, чтобы у разных пользователей не было доступа к каталогам друг друга.
Если всё под одним пользователем, то никакой изоляции не будет (есть, конечно, всякие policy kit, app armor и прочие, но, поверь, настраивать их гораздо сложнее, чем создавать пользователей, они нужны в первую очередь для графических сессий, где запуск приложений от разных пользователей создаёт проблемы).
Как максимум, опакетить каждый бекэнд в отдельный докер образ (обязательно с запуском не от root и крайне желательно на базе минимального образа с минимумом системных утилит или вообще без них, если технология конкретного бекэнда позволяет) и запускать так. Это ещё сильнее снизит поверхность атаки.
Исходная версия KivApple, :
Как минимум нужно запускать разные бекэнды от разных пользователей, хранить их данные в разных каталогах и проследить, чтобы у разных пользователей не было доступа к каталогам друг друга.
Если всё под одним пользователем, то никакой изоляции не будет (есть, конечно, всякие policy kit, app armor и прочие, но, поверь, настраивать их гораздо сложнее, чем создавать пользователей, они нужны в первую очередь для графических сессий, где запуск приложений от разных пользователей создаёт проблемы).
Как максимум, опакетить каждый бекэнд в отдельный докер образ (обязательно с запуском не от root и крайне желательно на базе минимального образа с минимумом системных утилит или вообще без них, если технология конкретного бекэнда позволяет) и запускать так. Это ещё сильнее снизит поверхность атаки.