我当然可以将文件系统及其中的所有文件安装为700,但我想要比这更紧密的东西。假设有人以某种方式设法进入我的系统。他们能够在任何地方读取几乎任何内容,包括……比如说……其中包含 ID 和秘密的配置文件。也许他们能够找到id_rsa私人用户数据。
如果有一种方法可以让进程仅在通过内核身份验证、持有加密密钥或说出魔法词时才能访问文件系统,那么任何其他 root 的化身(即使有人获取了我的进程exec bash)也将无法访问文件系统。查看任何可以提升他们访问权限的秘密。
linux 是否提供了实现此目的的方法?我不知道我们有多少空间可以移动潜在的敏感文件,但我应该能够用加密文件系统的链接替换它们。