Согласно предыдущему посту, который я разместил здесь: https://security.stackexchange.com/questions/180170/защита-содержимого-папки-от-процессов, технически возможно реализовать систему, использующую стандартную модель дискреционного контроля доступа, изначально поддерживаемую ядром Linux, в которой список процессов по моему выбору будет единственным, способным читать определенный смонтированный каталог.
В частности, я хочу, чтобы мой файловый менеджер (Nautilus) мог считывать содержимое моего смонтированного каталога и отображать находящиеся внутри папки и файлы, как это обычно и происходит, но чтобы ни один другой процесс не мог этого сделать.
Для этого я создал новую группу для этой конкретной цели, я изменил группу исполняемого файла /usr/bin/nautilus с "root" на эту специальную группу, а также установил флаг setgid для этого файла, чтобы процессы, инициируемые из этого файла, имели свой эффективный идентификатор группы, который соответствует группе, которая должна иметь доступ к этой смонтированной папке. По сути, эффективная группа выполнения nautilus как процесса будет специальной группой.
Наконец, я перешел к смонтированной папке и выполнил «chgrp -R special_group .» и «chmod -R 770 .». Владелец этой папки — «root».
Все отлично и замечательно, за исключением того, что теперь я заблокирован из смонтированной папки. Nautilus, по какой-то причине, не может получить доступ к этой папке и выдает мне общее "Отказано в доступе". Хуже того, я не могу получить доступ к папке Trash своего пользователя из-за той же ошибки.
Я что-то делаю не так?
решение1
Вы можете запустить nautilus с помощью команды sudo.
$ sudo nautilus