[gelöst] Zoom Client berufliche Nutzung, Trennung von privat

[Aliastargz]

Hallo liebes Forum,
ich mache mir Gedanken zu dem Client von Zoom und habe ein paar Fragen.
Die Software kann https://wwu.zoom.us/download als .deb Paket heruntergeladen werden.
Die erste Installation mittels "dpkg -i zoom*" verlief ohne Probleme. Allerdings musste noch das Paket ibus zusätzlich mittles apt installiert werden. Das Programm scheint sich auch mittel dpkg -P gut vom System entfernen zu lassen. Es verbleiben nur ein paar Datein in .cache und .config.

Code: Alles auswählen

sudo dpkg -i zoom_amd64.deb 
[sudo] Passwort für : 
Vormals nicht ausgewähltes Paket zoom wird gewählt.
(Lese Datenbank ... 370203 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereitung zum Entpacken von zoom_amd64.deb ...
Entpacken von zoom (3.5.374815.0324) ...
zoom (3.5.374815.0324) wird eingerichtet ...
run post install script, action is configure...
current home is /root
Trigger für gnome-menus (3.31.4-3) werden verarbeitet ...
Trigger für desktop-file-utils (0.23-4) werden verarbeitet ...
Trigger für mime-support (3.62) werden verarbeitet ...
Trigger für shared-mime-info (1.10-1) werden verarbeitet ...

Was bedeutet "current home is /root" und wie vertrauenswürdig ist eine so installierte Software? Mich erinnert es irgendwie sehr an die Überwachungsfernseher aus George Orwells' 1984...

Das Programm lässt sich nicht aus der GUI sauber beenden. Nur ein "killall zoom" killt alle Prozesse. Die Gefahr ist groß, dass man es aus Versehen geöffnet lässt.

Wie würde man vorgehen, um das Programm etwas zu begrenzen? Installation in einem Chroot? Doch wie mache ich dann den Zugriff auf Kamera und Mikro? Installation in einer virtuellen Box? Bestimmt relativ gut, aber hoher Aufwand. Installation in einem eigenen Benutzer um zumindest die Datein privat/beruflich zu trennen?

Vielen Dank für Tipps und Antworten.

[spiralnebelverdreher]

Das Programm lässt sich nicht aus der GUI sauber beenden. Nur ein "killall zoom" killt alle Prozesse. Die Gefahr ist groß, dass man es aus Versehen geöffnet lässt.

Das Problem hatte ich auch bemerkt und dann aber mal auf meine XCFE Taskleiste geblickt. Dort zeigt das Zoom Symbol (Kamera auf blauem Untergrund) an, dass noch Prozesse laufen. Mit einem Rechtsklick und Exit ist dann aber Schluss mit dem Prozess.

Wie würde man vorgehen, um das Programm etwas zu begrenzen? Installation in einem Chroot? Doch wie mache ich dann den Zugriff auf Kamera und Mikro? Installation in einer virtuellen Box? Bestimmt relativ gut, aber hoher Aufwand. Installation in einem eigenen Benutzer um zumindest die Datein privat/beruflich zu trennen?

Vielen Dank für Tipps und Antworten.

Ich habe mir firejail installiert und starte bei der nächsten Gelegenheit zoom aus der Kommandozeile (bzw. über ein Startersymbol auf dem Desktop) mit "firejail zoom" aus. Firejail ist vereinfacht gesagt eine Software, die andere Software in einer Sandboxing-Umgebung ausführt. Für viele Anwendungen von amarok über firefox bis zoom gibt es schon vorgefertigte Profile (in /etc/firejail/) .

[hikaru]

Wie würde man vorgehen, um das Programm etwas zu begrenzen?

Angesichts der Probleme [1] sehe ich als einzige Lösung den Verzicht auf Installation und Nutzung. Das Programm hat nicht einzelne Sicherheitslücken, die sich gezielt abdichten ließen. Es stellt als Ganzes eine inhärente Gefahr für Systemintegrität und Datenschutz dar.

[1] https://de.wikipedia.org/wiki/Zoom_Vide ... ons#Kritik

[Aliastargz]

Leider ist die Konfiguration von firejail gar nicht so trivial.
Die Profile, die schon in /etc/firejail hinterlegt sind, funktionieren out-of-box leider nicht.
Die Anmeldung via SSO, die ich leider benötige, funktioniert gar nicht.
Eine Anmeldung via Google klappt, aber es lassen sich keine Meetings starten und das Terminal, in dem Firejail läuft zeigt kryptischen Text.
Schade. Vermutlich lässt es sich wirklich nur mit einem seperaten Rechner erfolgreich von den privaten Daten aussperren...

[Tintom]

Hier wurde ein etwas tieferer Blick in die Software geworfen. Ich würde für einfache Meetings eine Lösung mittels WebRTC empfehlen wie z.B. https://palava.tv/ . Da muss nichts installiert werden weil alles über den Browser läuft.

[Aliastargz]

Ich reaktiviere nochmal meinen eigenen Thread, da ich mittlerweile eine für mich einigermaßen passable Lösung gefunden habe. Auch wenn ich demnächst voll auf Jitsi umsteigen werde, möchte ich hier doch einmal für andere festhalten, wie man Zoom unter Debian einigermaßen praktikabel installieren kann und von den privaten Dateien ein wenig abschirmen kann.

Entscheidung: Installation via flatpak und Betreiben der Software in Flatpak mit einem eigenen User. Wenn die Berechtigungen in den Homeverzeichnissen entsprechend gesetzt werden, ist es für die Software meines Erachtens nicht möglich, großen Schaden anzurichten.

1. Schritt: Installation von flatpak, wie hier beschrieben: https://wiki.debian.org/FlatPak
2. Schritt: Zoom installieren:

Code: Alles auswählen

flatpak search zoom
flatpak --user install zoom

3. Schritt: Flatseal installieren

Code: Alles auswählen

flatpak search flatseal
flatpak --user install flatseal

4. Schritt: Flatseal starten und Berechtigungen prüfen, ggf. Zugriff auf Home-Ordner verweigern.

Vorteile: Flatpaks lassen sich relativ gut updaten, sodass auch Rechner von nicht so erfahrenen Benutzern gut gewartet werden können.
Updates können mittels cron automatisiert oder manuell angestubst werden.

Code: Alles auswählen

flatpak update -y

PS: Mittlerweile funktioniert das Aussperren via firejail ebenfalls gut und out-of-the-box. Der Nachteil ist jedoch, dass ein Update des Zoom Clients weiterhin manuell (durch Neuinstallation) erfolgen muss und der Anwendungsstarter manuell geändert werden muss, sodass auch wirklich Zoom im Firejail startet. Die Lösung via flatpak ist daher praktikabler, wenn man beruflich zwingend auf Zoom angewiesen ist.

[uname]

Vielleicht Webclient oder getrenntes System.

https://support.zoom.us/hc/de/articles/ ... Web-Client

[Aliastargz]

Ein getrenntes System ist natürlich die einfachste und sicherste Lösung, da gebe ich recht. Auch ist es möglich eine virtuelle Maschine aufzusetzen und das Mikrofon / Webcam an diese durchzureichen. Dies bindet aber unverhältnismäßig große Ressourcen.
Der Webclient bietet leider nicht alle Funktionen, wie Gruppen ("Break-out-rooms") erstellen, Bildschirm teilen usw.
Daher scheint mir der benutzerfreundlichste und gleichzeitig ressourcenschonendste Weg eine Installation mittels flatpak zu sein.