確かにファイルシステムとその中のすべてのファイルを としてマウントすることはできます700
が、それよりもさらに厳重なものが必要です。誰かが何らかの方法で私のシステムに侵入できたとします。その場合、ID やシークレットを含む構成ファイルなど、どこからでもほぼすべてを読み取ることができます。あるいは、id_rsa
ユーザーのプライベート データを見つけることもできるかもしれません。
プロセスがカーネルで認証されたか、暗号キーを保持しているか、マジックワードを話した場合にのみファイルシステムにアクセスできる方法がある場合、他のルートの化身は、たとえ誰かが私のプロセスにアクセスできたとしてもexec
bash
、アクセスを昇格させる秘密を一切見ることができません。
Linux にはこれを実現する方法がありますか? 機密性の高い可能性のあるファイルを移動するためのスペースがどれくらいあるかはわかりませんが、暗号化されたファイルシステムへのリンクに置き換えることはできるはずです。