私が以前ここに投稿した記事によると: https://security.stackexchange.com/questions/180170/プロセスからフォルダーの内容を保護する、Linux カーネルがネイティブにサポートする標準の任意アクセス制御モデルを利用するシステムを実装することは技術的に可能であるはずです。このシステムでは、マウントされた特定のディレクトリを読み取ることができるのは、選択したプロセスのリストのみになります。
具体的には、ファイル マネージャー (Nautilus) がマウントされたディレクトリの内容を読み取り、内部のフォルダーとファイルを通常どおりに表示できるようにしたいのですが、他のプロセスではそれができないようにしたいと考えています。
そのために、私はその特定の目的のために新しいグループを作成し、実行可能ファイル /usr/bin/nautilus のグループを「root」からその特別なグループに変更し、そのファイルに setgid フラグを設定して、そのファイルから開始されるプロセスが、マウントされたフォルダーにアクセスできるグループの有効なグループ ID を持つようにしました。基本的に、プロセスとしての nautilus の有効な実行グループは、特別なグループになります。
最後に、マウントされたフォルダーに移動して、「chgrp -R special_group .」および「chmod -R 770 .」を実行しました。そのフォルダーの所有者は「root」です。
すべて順調ですが、マウントされたフォルダにアクセスできなくなりました。何らかの理由で、Nautilus はこのフォルダにアクセスできず、一般的な「アクセスが拒否されました」というメッセージが表示されます。さらに悪いことに、同じエラーのため、自分のユーザーのゴミ箱フォルダにアクセスできません。
ここで私は何か完全に間違ったことをしているのでしょうか?
答え1
sudo コマンドを使用して nautilus を起動できます。
$ sudo nautilus