linux - SELinux：允许未经许可的用户读取文件以生成能够读取此类文件的进程

问题描述

语境

我有一些私钥用于签署 cosmos-sdk 节点的交易。DevOps 人员将负责配置和操作该节点。
默认情况下，密钥存储在 keyring-file 中，该文件使用密码对密钥进行加密，DevOps 用户可以正常读取。

我想让这些密钥归根用户所有，DevOps 用户对这些文件没有任何读/写权限，但他可以生成一个特定的进程来读取这个文件。

想法

我做了一些研究并假设这些：

1. 进程和文件权限符合用户权限。因此，如果进程可以读取文件，则意味着用户也可以这样做。
2. SELinux 是默认文件权限模型的一个子集，因为我们需要定义特定的规则来允许某些事情发生。因此，如果使用默认文件权限无法完成某些操作，则无法使用 SELinux 完成。
3. 另一种使用 Linux 域套接字进行通信的方法。根进程将托管服务器并将密钥的文件描述符发送到符合要求的客户端（用户和进程名称......）

请指教，谢谢。

标签： linuxsecuritypermissionslinux-kernelselinux