我有一个用户用来运行不受信任的程序(更具体地说,Skype)。我想授予该用户访问网络摄像头的权限。
我使用的是 Debian,执行此操作的标准方法是将用户放入video组中。然而,这似乎允许他们做的不仅仅是访问网络摄像头,更具体地说,他们可以“写入视频内存”https://www.debian-administration.org/article/109/How_Debian_controls_hardware_access。我不确定这对安全有何影响。
授予用户专门访问网络摄像头的正确方法是什么?我可以将所有权更改/dev/video0为特定组,将受限用户和常规用户放入该组中,但这是否是正确的方法,是否有适当的方法可以使其在重新启动后保持不变?或者,我听说这可以通过 PolicyKit 或 ConsoleKit 实现,但我无法在网上找到示例。那怎么办呢?
提供更多详细信息:非特权用户永远不会使用 TTY 或 GDM 登录。它使用我的常规用户启动的 sudo 运行其应用程序,并访问我的常规用户的pulseaudio 守护程序和我的常规用户的 X 服务器(通过 xpra)。
预先非常感谢您的帮助!