我想在我的计算机上安装一个新的 Linux 发行版,并且我希望它无法访问我的电脑中的其他磁盘(例如,我拥有所有文档、其他操作系统等的磁盘)
理想情况下,我希望即使是 root 用户也不能挂载这些分区,通过一些在线搜索,我认为这可以通过内核参数来完成,但我还没有找到适合这种情况的分区。
我知道我也可以通过 udev 来做到这一点,但我真的更喜欢更强大的东西(在启动时)。
为什么我需要这一切?我可能会在电脑上进行一些渗透测试/漏洞利用开发,从而运行不受信任的代码。由于多种原因,在虚拟机中执行所有这些操作并不是一种选择。
答案1
Linux 内核没有这样的选项,并且潜在在 root 用户下运行的恶意软件将能够绕过大多数(如果不是全部)限制。
您不会在硬件上运行不受信任的代码,除非您没有什么可丢失的,并且可以将其全部清除。
答案2
防止硬件可用性的唯一安全解决方案。
我建议拔掉您不希望该操作系统访问的磁盘的电源线。由于无论如何你都必须重新启动才能使用它们,所以这并不是一个很大的损失。