我的驱动器上有一个源代码文件夹,并且还使用 SSH 密钥通过 git 与远程存储库进行通信。我只需要使用 Visual Studio Code IDE 打开文件夹并从其中运行 git 命令。
如果我想将受感染应用程序访问源代码或 SSH 密钥的风险降至最低,那么在两个文件夹上设置 root 读取权限,然后以 root 身份启动 IDE 是否是一种合理的方法?那么,只有当 IDE 或其中的插件中存在恶意代码时,这些文件夹才会受到感染。
据我所知,Linux 中没有“限制除 X、Y、Z 之外的所有应用程序访问文件夹”指令,即使 AppArmor 也没有。
我正在使用 Ubuntu 20.04 LTS,但不介意将系统重新安装到较新的 LTS 版本。
答案1
切勿以 root 身份运行 GUI 应用程序(如 IDE)。
创建一个单独的用户帐户,该帐户仅用于处理代码,使该文件夹仅对该用户可访问,并以该用户的身份运行 IDE。