Linux 下隔离部分软件的文件访问权限 - V2EX-免疫在线蚂蚁淘旗下平台-

当前位置：首页 > 新闻动态 >

热卖商品

aromor/2-Buten-1-one,1-(2,6,6-trimethyl-1-cyclohexen-1-yl)-, (2E)-/23726-91-2

aromor/gamma-Nonanolactone/104-61-0

aromor/Linalool/78-70-6

aromor/2-Cyclohexene-1-carboxaldehyde,2,6,6-trimethyl-/432-24-6

新闻详情

Linux 下隔离部分软件的文件访问权限 - V2EX

来自 : www.v2ex.com/t/745... 发布时间：2021-03-25

$\"whenov\"$ V2EX › LinuxLinux 下隔离部分软件的文件访问权限 whenov · 66 天前 · 948 次点击这是一个创建于天前的主题，其中的信息可能已经有所发展或是发生改变。

Windows 下的 QQ 会扫描浏览器历史记录，Android 下的部分软件会在根目录乱建文件。Linux 下虽然暂时少有类似的情况，但随着国内大厂软件数量的增多，也要未雨绸缪。这里分享一种比 docker 更轻量的隔离软件文件权限的简易方法：

修正家目录下现有的权限：

chmod o-rwx ~ # even g-rwx to be more strict

修复未来的权限，在.bash_profile中加入：

umask 007 # or even 077

新增专门用于不可信程序的用户，如untrusted：

useradd -m -d /var/lib/untrusted -U untrusted

为避免频繁输入密码，执行visudo并在末尾加入：

my_user ALL=(untrusted) NOPASSWD: ALL

为了能在不同用户下执行 GUI 程序，在.xinitrc等类似文件中加入：

xhost si:localuser:untrusted

尝试执行不可信程序：

sudo -i -u untrusted program

注意此方法并不能建立真正安全的沙盒，但可以以成本较低的方式来防止部分软件扫描用户文件及在家目录下乱建文件的行为。沙盒的实现方式可参考 seccomp 。

P. S. 如果你最近在家目录下发现了.sys1og.conf文件，那是 wechat-uos 创建的。

2021年1月17日总感觉用 SElinux 或 Apparomor 更好一些。 4 whenov57 天前 @MicroBotter的确更安全,但对我来说太重了 5 whenov57 天前Linux - @whenov - Windows 下的 QQ 会扫描浏览器历史记录，Android 下的部分软件会在根目录乱建文件。Linux 下虽然暂时少有类似的情况，但随着国内大厂软件数量的增多，也要未雨绸缪。这里分享一种比 doLinux 下隔离部分软件的文件访问权限

本文链接： http://aromor.immuno-online.com/view-763246.html

发布于： 2021-03-25 阅读（0）

没有了

最新动态

常见的进口透析袋品牌介绍 2018-02-28

Linux 下隔离部分软件的文件访问权限 - V2EX 2021-03-25

辐射4 项圈MOD下载_辐射4 项圈MOD下载_单机游戏下载大全中文版... 2021-03-25

我的世界1.7.10隐藏装备MOD下载|MC自带汉化装备隐藏MOD下载_我的... 2021-03-25

Vertellus Health And Speciality进口数据及联系方式-外贸邦 2021-03-25

【Slaughter/手书】Therefore you and me_哔哩哔哩 (゜-゜)つロ... 2021-03-25

常见电子专业术语中英文对照 2021-03-25

以色列香精巨头的高光时刻_华顿 2021-03-25