问题:
你好团队,
我正在尝试保护我的开发人员帐户,Linux 主目录位于 LUKS 加密分区的顶部。
这个想法是,如果机器被盗,那么小偷将得到一个漂亮的砖砌系统,因为每次机器重新启动时都会询问加密的文件系统密码。
理想情况下,希望将任何新的文件创建命令(git clone、cp、tar 等)限制为仅在主目录上工作,而在本地文件系统上的任何其他地方都不能工作。
那么我的选择是什么?
- 除 /tmp 分区外,开发人员没有可以在其中写入文件的目录,但对其进行加密也可能是矫枉过正。
- 这可以通过 SE Linux 策略强制执行吗?
- 可以使用 GIT_DIR 和 GIT_WORK_TREE 环境变量,但这会使事情变得复杂并且不能防止意外的 tar、cp
- 我还研究了像gcrypt这样的“加密 git”的几个实现,但我不知道这些项目有多成熟。再次克隆存储库后,您可以对加密区域之外的文件进行 cp、tar 处理。
这可行吗?
也许我从错误的角度看待问题,任何提示将不胜感激。
谢谢!