Sandboxing de fichiers sans nouvel utilisateur

0

Est-il possible d'isoler certains dossiers de tous les programmes sauf un, sans créer un nouvel utilisateur? Un peu comme un bac à sable inversé. Plus précisément, je souhaite protéger le dossier .bitcoin contre tout accès par le client bitcoin.

Je pense que quelque chose utilisant LSM pourrait le gérer.


la source
1
Vous auriez besoin d'une sécurité par processus telle que fournie par la mise en application de types de selinux.
Dan D.

Réponses:

-1

Je pense que ça ne marchera pas non plus.

La seule chose qui me vienne à l’esprit est un processus en plusieurs étapes impliquant le cryptage:

Utiliser encfs pour chiffrer un répertoire

Puis écris un script qui

a) monte le répertoire encrpyed
b) exécute bitcoin
c) démonte le dossier après la sortie de bitcoin.

Ensuite, exécutez uniquement bitcoin en appelant ce script.

Cela n'empêche pas les autres programmes de lire ces fichiers lors du montage, mais garantit que, si le dossier crypté n'est pas monté, rien ne pourra les lire (ce qui est logique. Ils pourraient toujours être supprimés). ou les corrompre d’une autre manière). Je crois encfs n'assurer que les autres utilisateurs, y compris la racine ne peuvent pas accéder à la partition montée (qui est une caractéristique de systèmes de fichiers à base de fusibles), de sorte que ce n'est pas un problème.

Plus fiable serait un client bitcoin qui cryptait directement.

Ou peut-être déplacer l'application Bitcoin dans le dossier crypté afin que vous ne puissiez simplement l'exécuter que si le dossier est monté.

Vous pouvez également jouer avec chattr +/- i dans le dossier chiffré (en définissant -i avant de le monter et + i après l'avoir démonté) pour empêcher les autres programmes de modifier les fichiers, car ils ne sont pas montés.

SuperMagic
la source