我當然可以將檔案系統及其中的所有檔案安裝為700,但我想要比這更緊密的東西。假設有人以某種方式設法進入我的系統。他們能夠在任何地方讀取幾乎任何內容,包括…比如說…其中包含 ID 和秘密的設定檔。也許他們能夠找到id_rsa私人用戶資料。
如果有一種方法可以讓進程僅在通過內核身份驗證、持有加密密鑰或說出魔法詞時才能訪問文件系統,那麼任何其他 root 的化身(即使有人獲取了我的進程exec bash)也將無法訪問文件系統。
linux 是否提供了實現此目的的方法?我不知道我們有多少空間可以移動潛在的敏感文件,但我應該能夠用加密文件系統的連結替換它們。