目标
为了防御恶意软件(甚至受损的开源库) 那会扫描文件系统并窃取数据。
问题
- 我的文件系统中有一个特定路径,我只希望少数列入白名单的应用程序能够访问该路径。我怎样才能做到这一点?
笔记:我已经考虑过替代方法(请参阅问题的编辑历史记录),但正在缩小保护文件系统中路径的范围。
答案1
最好的解决方案是针对每个信任级别单独的硬件和网络隔离。
虚拟机是下一个最好的东西,尤其是在像这样集成时库贝斯操作系统但有一天可能会受到硬件错误(rowhamer、推测执行、火线)或软件错误的影响。
容器可以设置一堆内核安全功能(SELinux / AppArmor,取消共享,chroot等)来隔离进程,而无需虚拟机的开销。
请记住,有动力的人可以使用简单的解决方案;
因此,最好不要访问您不需要访问的资产。
我个人混合使用上述方法;用于真正敏感位的专用硬件、用于非 debian/fedora 的虚拟机、Pixel 2 手机(值得一提的软件更新的唯一选项)分层安全(防火墙、入侵检测系统等)
棱镜破裂是一个很好的软件推荐集合