如何防止 git 在用户主目录之外写入文件
How to prevent git from writing files outside user home directory
问题:
大家好,
我正在尝试保护我的开发者帐户,Linux 主目录位于 LUKS 加密分区之上。
这个想法是,如果机器被盗,那么小偷将得到一个漂亮的砖头系统,因为每次机器重新启动时都会询问加密的文件系统密码。
理想情况下希望将任何新文件创建命令(git clone、cp、tar 等)限制在主目录上,而在本地文件系统上无处可寻.
那么我有什么选择?
- 除了 /tmp 分区之外,开发人员没有可以写入文件的目录,但也对其进行加密可能有点矫枉过正。
- 这可以通过 SE Linux 政策强制执行吗?
可以使用 - GIT_DIR & GIT_WORK_TREE 环境变量,但这会使事情变得复杂并且不能防止意外 tar、cp
- 我也研究了 'encrypted git' 的几个实现,例如 gcrypt,但我不知道这些项目有多成熟。再次克隆存储库后,您可以 cp,tar 加密区域之外的文件。
这可行吗?
可能是我看问题的角度不对,如有指点,将不胜感激。
谢谢!
我建议将 rootfs 设为只读,将 /home 设为读写。
/tmp 应使用 tempfs
挂载
https://askubuntu.com/questions/173094/how-can-i-use-ram-storage-for-the-tmp-directory-and-how-to-set-a-maximum-amount
问题:
大家好,
我正在尝试保护我的开发者帐户,Linux 主目录位于 LUKS 加密分区之上。
这个想法是,如果机器被盗,那么小偷将得到一个漂亮的砖头系统,因为每次机器重新启动时都会询问加密的文件系统密码。
理想情况下希望将任何新文件创建命令(git clone、cp、tar 等)限制在主目录上,而在本地文件系统上无处可寻.
那么我有什么选择?
- 除了 /tmp 分区之外,开发人员没有可以写入文件的目录,但也对其进行加密可能有点矫枉过正。
- 这可以通过 SE Linux 政策强制执行吗? 可以使用
- GIT_DIR & GIT_WORK_TREE 环境变量,但这会使事情变得复杂并且不能防止意外 tar、cp
- 我也研究了 'encrypted git' 的几个实现,例如 gcrypt,但我不知道这些项目有多成熟。再次克隆存储库后,您可以 cp,tar 加密区域之外的文件。
这可行吗?
可能是我看问题的角度不对,如有指点,将不胜感激。
谢谢!
我建议将 rootfs 设为只读,将 /home 设为读写。
/tmp 应使用 tempfs
挂载
https://askubuntu.com/questions/173094/how-can-i-use-ram-storage-for-the-tmp-directory-and-how-to-set-a-maximum-amount