Laut einem früheren Beitrag von mir hier: https://security.stackexchange.com/questions/180170/protecting-folder-contents-from-processessollte es technisch möglich sein, ein System zu implementieren, das das vom Linux-Kernel nativ unterstützte Standardmodell der diskretionären Zugriffskontrolle verwendet, in dem eine Liste von Prozessen meiner Wahl die einzigen sind, die ein bestimmtes gemountetes Verzeichnis lesen können.
Insbesondere möchte ich, dass mein Dateimanager (Nautilus) den Inhalt meines gemounteten Verzeichnisses lesen und mir die darin enthaltenen Ordner und Dateien wie gewohnt anzeigen kann, andere Prozesse hierzu jedoch nicht in der Lage sind.
Zu diesem Zweck habe ich eine neue Gruppe für diesen speziellen Zweck erstellt, die Gruppe der ausführbaren Datei /usr/bin/nautilus von „root“ in diese spezielle Gruppe geändert und außerdem das Flag setgid für diese Datei gesetzt, damit die Prozesse, die von dieser Datei aus gestartet werden, die effektive Gruppen-ID der Gruppe haben, die Zugriff auf diesen gemounteten Ordner haben soll. Grundsätzlich ist die effektive Gruppe, mit der Nautilus als Prozess ausgeführt wird, die spezielle Gruppe.
Schließlich ging ich zum gemounteten Ordner und führte ein „chgrp -R special_group.“ und „chmod -R 770.“ aus. Der Besitzer dieses Ordners ist „root“.
Alles schön und gut, außer dass ich jetzt aus dem bereitgestellten Ordner ausgesperrt bin. Nautilus kann aus irgendeinem Grund nicht auf diesen Ordner zugreifen und gibt mir die allgemeine Meldung „Zugriff verweigert“ aus. Schlimmer noch, ich kann aufgrund desselben Fehlers nicht auf den Papierkorb meines eigenen Benutzers zugreifen.
Mache ich hier etwas völlig falsch?
Antwort1
Sie können Nautilus mit dem Befehl sudo starten.
$ sudo nautilus