我想强制对我的主文件夹中的某些文件进行安全访问。我担心的是以与我访问这些文件相同的权限运行的进程。
一段时间以来我一直想知道这个问题,因为 Linux 中基于角色的安全性很好,但对于以相同角色运行的事物来说却很弱。特别是当涉及非常活跃的用户帐户时,主文件夹中的每个文件都容易受到用户操作的影响。例如,安装恶意的 Firefox 插件,操作系统的其他部分不会受到影响,但主文件夹中的所有文件都可能会被暴露,并且安装 Firefox 插件是任何用户都可以做的事情,无需任何特殊的操作特权。
您可能最好使用实现RBAC或MAC 的安全框架(前者为grsecurity ,后者为SELinux、AppArmor、Tomoyo Linux),它可以让您为每个应用程序定义更细粒度的权限。
除此之外,最近的 Linux 内核提供了命名空间,允许您更改不同进程查看整个系统的方式。如果您在不受信任的进程上挂载空目录$HOME,它将无法读取您的文件。