приветствую.

Подскажите по безопасности, нужно изолировать вебсервер на devuan, т.к. я слаб в безопасности под него будет выделена отдельная машина, и если он будет взломан то на остальных машинах это никак не скажется.

решил что lxc или docker это лишнее(возможно неправ) и остановился на firejail.

И вот возникает вопрос что безопасней? настроить машину так чтобы права везде где возможно были 0750 вместо 0755, и оставить только минимальный набор для функционирования системы или использовать firejail.

Меня напрягает вот что - firejail запускается с битом SUID, а вебсервер нет.
То-есть если сломают вебсервер то получат права крайне ограниченного юзера,
а если смогут сломать firejail то получат рут.

Может есть способ изоляции без рутовых прав?