もちろん、ファイルシステムとその中にあるすべてのファイルをマウントできますが、700
それよりも厳しいものが欲しいのです。誰かが何とか私のシステムに侵入したとしましょう。 IDと秘密を含む設定ファイルを含む、どこからでもほぼすべてを読むことができます。たぶん彼らはid_rsa
個人的なユーザーデータを見つけるかもしれません。
カーネルに認証したり、暗号化キーを保持したり、魔法の言葉を話したときにのみプロセスがファイルシステムにアクセスできるようにする方法がある場合は、ルートの他の化身(誰かが私のプロセスへのアクセス権を得たとしてもexec
bash
)はアクセスできます。できません。ファイルシステムにアクセスできます。アクセス権を高めるための秘密を確認してください。
Linuxはこれを達成する方法を提供していますか?潜在的に機密性の高いファイルを移動するのにどれだけのスペースが必要かはわかりませんが、暗号化されたファイルシステムへのリンクで置き換えることができるはずです。