Ich kann natürlich ein Dateisystem und alle darin enthaltenen Dateien als mounten 700, aber ich möchte etwas noch Engeres. Nehmen wir an, jemand schafft es irgendwie, in mein System einzudringen. Er könnte praktisch alles überall lesen, einschließlich ... sagen wir ... einer Konfigurationsdatei mit IDs und Geheimnissen. Vielleicht könnte er eine id_rsaoder private Benutzerdaten finden.
Wenn es eine Möglichkeit gibt, dass ein Prozess nur dann auf ein Dateisystem zugreifen kann, wenn er sich beim Kernel authentifiziert hat, einen Kryptoschlüssel besitzt oder das Zauberwort spricht, dann exec bashkönnte jede andere Inkarnation von Root – selbst wenn jemand meinen Prozess dazu bringen würde – keines der Geheimnisse sehen, die ihm erweiterte Zugriffsrechte gewähren würden.
Bietet Linux eine Möglichkeit, dies zu erreichen? Ich weiß nicht, wie viel Platz wir haben, um potenziell vertrauliche Dateien zu verschieben, aber ich sollte in der Lage sein, sie durch Links zum verschlüsselten Dateisystem zu ersetzen.