根據我之前在這裡發表的帖子: https://security.stackexchange.com/questions/180170/protecting-folder-contents-from-processes,在技術上應該可以實現一個利用 Linux 核心本身支援的標準自主存取控制模型的系統,其中我選擇的進程列表將是唯一能夠讀取特定安裝目錄的進程。
具體來說,我希望我的檔案管理器(Nautilus)能夠讀取已安裝目錄的內容,並向我顯示其中的資料夾和文件,但任何其他進程都無法這樣做。
為此,我為此特定目的創建了一個新群組,我將可執行檔案/usr/bin/nautilus 的群組從「root」更改為該特殊群組,並且還在該檔案上設定了setgid 標誌,以便進程啟動該檔案中的有效群組 ID 是有權存取該已安裝資料夾的群組之一。基本上 nautilus 作為進程的有效運作群組將是特殊群組。
最後,我轉到已安裝的資料夾並執行“chgrp -Rspecial_group”。和“chmod -R 770”。該資料夾的擁有者是“root”。
一切都很好,只是現在我被鎖定在已安裝的資料夾之外。無論出於何種原因,Nautilus 都無法存取此資料夾,並給了我通用的「權限被拒絕」。更糟的是,由於同樣的錯誤,我無法存取我自己用戶的垃圾資料夾。
我在這裡做錯了什麼嗎?
答案1
您可以使用 sudo 指令啟動 nautilus。
$ sudo nautilus