无需新用户即可对文件进行沙盒处理

无需新用户即可对文件进行沙盒处理

是否可以将某些文件夹与除一个之外的所有程序隔离,没有创建新用户?有点像反向沙箱。具体来说,我想保护 .bitcoin 文件夹,使其不被比特币客户端以外的人访问。

我在想也许利用 LSM 的某些东西可以解决这个问题。

答案1

我认为那也不行。

我唯一想到的是一个涉及加密的多步骤过程:

使用 encfs 加密目录

然后编写一个脚本

a) 挂载加密目录
b) 运行比特币
c) 在比特币退出后卸载文件夹。

然后只需调用该脚本即可运行比特币。

这实际上并不能阻止其他程序在安装时读取这些文件,但可以确保当您没有安装加密文件夹时,没有任何东西能够读取这些文件(以某种方式说得通。他们仍然可以删除它们或以其他方式损坏它们)。我相信 encfs确保其他用户(包括 root)无法访问已挂载的分区(这是基于 fuse 的文件系统的功能),所以这不是问题。

更可靠的是直接进行加密的比特币客户端。

或者,也许将比特币应用程序移到加密文件夹中,这样除非该文件夹被安装,否则您根本无法运行它。

您还可以摆弄 chattr +/-i 到加密文件夹(在挂载之前设置 -i,在卸载之后设置 +i)以防止其他程序修改文件并且它未被挂载。

相关内容