فرضیه: در یک ایستگاه کاری لینوکس من به طور منظم از نرم افزارهای مختلف دانلود و استفاده می کنیم، بطور مثال ماژول های Perl یا Nodejs. وقتی که من از آنها استفاده می کنم، آنها بر روی دستگاه با من به عنوان صاحب کار می کنند و می توانند هر کاری که می توانند در دایرکتوری من انجام دهند، می توانند به کلید های من دسترسی پیدا کنند و به سرقت بروند (از طریق شبکه)
برای سال ها، در حال حاضر من در نهایت در زمان پیدا کردن SELinux برای مقابله با مشکل پیدا کرد. اما همانطور که SELinux یاد گرفتم، به نظر من این موضوع پیش می آید که ممکن است برخی از ماژول ها برای برنامه های کاربردی که از آن داده های حساس استفاده می کنند ایجاد شود، بگذارید یک ماژول خطمشی SELinux برای gnupg
برای محدود کردن دسترسی به کلیدهای gpg برای آن برنامه اما به نظر نمی رسد این مورد باشد. به همین دلیل است که من شروع به تردید کل ایده کردم. من وب را برای "پرونده های دایرکتوری دایرکتوری خانه لینوکس" جستجو کردم و نتایج مشابهی در مورد سرقت فیزیکی بود. این بسیار بعید است که من تنها کسی هستم که در مورد این فکر کرد
بنابراین اولین سوال من این است آیا این فرض درست است ؟
اگر آن است، سپس آنچه مطلوب است گزینه هایی برای مقابله با این ؟ در حال حاضر قصد دارم سعی کنید سفارشی کردن سیاست SELinux هدفمند برای اجازه دسترسی به آن فایل های حساس تنها به یک مجموعه محدود از فرآیندها و احتمالا محدود کردن دسترسی شبکه بر اساس برنامه.
I باید سیاست سفارشی را سفارشی کند، زیرا به نظر می رسد دامنه unconfined_t
اجازه دسترسی به هر دو user_home_t
و gpg_secret_t
از gpg_secret_t
بخشی از ویژگی user_home_type
و خط مشی اجازه دسترسی کامل به آن را می دهد :
$ sesearch -t gpg_secret_t -A
...
اجازه unconfined_t user_home_type: file {خواندن نوشتن ...}