作为一个夏季项目,我希望防止任何专有软件(例如我运行的许多游戏)访问我的个人文件。在研究了很多沙箱之后,我认为像 chroot 这样的东西对我来说太复杂了,无法使用,因为简单=安全。我创建了一个用户来运行所有这些应用程序,并确保只有我的个人帐户组的成员(该用户不在其中)才能访问我的文档。从表面上看,事情似乎正在发挥作用(尤其是在我将其添加到视频组之后),但我认为谨慎的做法是询问仍然存在哪些安全问题。
- 应用程序可以窃取 Control-Alt-Fn[1-12] 的控制权吗?
- 应用程序可以读取其他用户运行的另一个 x 服务器上发生的情况吗?
- 如果我的专有软件帐户的密码较弱,有什么影响吗?
- 由于我的 /home/$USER 文件夹本身不向任何不在我的组或我中的人授予任何权限,因此其中的文件具有什么权限并不重要,不是吗?里面的文件名是读不出来的吧?
- Wine 不会做任何可能成为漏洞的时髦系统级事情,不是吗?
- /tmp 目录是否存在任何漏洞?
- 是否存在任何其他漏洞,该帐户中运行的任何应用程序都可以利用这些漏洞来访问我的文档?
- 对于这类事情有哪些好的做法?
- 我还能做什么来限制该帐户的权限?
我正在运行 Debian 测试。任何意见,将不胜感激。
答案1
尽管这听起来很疯狂,但虚拟化可能是您的选择。您可以安装 kvm 和 virt-manager,然后您的文件就完全安全,无论这些程序在您的虚拟机上执行什么操作。