Ciertamente puedo montar un sistema de archivos y todos los archivos que contiene como 700
, pero quiero algo aún más estricto que eso. Digamos que alguien logra entrar en mi sistema, de alguna manera. Serían capaces de leer casi cualquier cosa, en cualquier lugar, incluido... digamos... un archivo de configuración con ID y secretos. Tal vez podrían encontrar id_rsa
datos de usuario privados.
Si hay una manera de que un proceso pueda acceder a un sistema de archivos sólo si se autentica con el kernel, o tiene una clave criptográfica, o pronuncia la palabra mágica, entonces cualquier otra encarnación de root, incluso si alguien consiguió que mi proceso lo hiciera exec
bash
, no podría ver cualquiera de los secretos que mejorarían su acceso.
¿Linux proporciona una manera de lograr esto? No sé cuánto espacio tenemos para mover archivos potencialmente confidenciales, pero debería poder reemplazarlos con enlaces al sistema de archivos cifrados.