De acordo com um post anterior que fiz aqui: https://security.stackexchange.com/questions/180170/protecting-folder-contents-from-processes, deve ser tecnicamente possível implementar um sistema que utilize o modelo padrão de Controle de Acesso Discricionário que o kernel do Linux suporta nativamente, no qual uma lista de processos de minha escolha serão os únicos capazes de ler um diretório montado específico.
Especificamente, desejo que meu gerenciador de arquivos (Nautilus) seja capaz de ler o conteúdo do meu diretório montado e exibir as pastas e arquivos dentro dele como normalmente deveria, mas que qualquer outro processo não consiga fazê-lo.
Para isso, criei um novo grupo para esse propósito específico, mudei o grupo do executável /usr/bin/nautilus de "root" para esse grupo especial e também configurei o sinalizador setgid nesse arquivo para que os processos iniciando desse arquivo terá seu ID de grupo efetivo aquele do grupo que deve ter acesso a essa pasta montada. Basicamente, o grupo de execução eficaz do nautilus como processo será o grupo especial.
Finalmente, fui para a pasta montada e fiz um "chgrp -R special_group." e "chmod -R 770.". O proprietário dessa pasta é "root".
Tudo bem e elegante, exceto que agora estou bloqueado na pasta montada. O Nautilus, por qualquer motivo, não consegue acessar esta pasta e me dá uma "Permissão negada" genérica. Pior ainda, não consigo acessar a pasta Lixeira do meu próprio usuário devido ao mesmo erro.
Estou fazendo algo completamente errado aqui?
Responder1
Você pode iniciar o nautilus usando o comando sudo.
$ sudo nautilus