linux - SELinux:允许未经许可的用户读取文件以生成能够读取此类文件的进程
问题描述
语境
我有一些私钥用于签署 cosmos-sdk 节点的交易。DevOps 人员将负责配置和操作该节点。
默认情况下,密钥存储在 keyring-file 中,该文件使用密码对密钥进行加密,DevOps 用户可以正常读取。
我想让这些密钥归根用户所有,DevOps 用户对这些文件没有任何读/写权限,但他可以生成一个特定的进程来读取这个文件。
想法
我做了一些研究并假设这些:
- 进程和文件权限符合用户权限。因此,如果进程可以读取文件,则意味着用户也可以这样做。
- SELinux 是默认文件权限模型的一个子集,因为我们需要定义特定的规则来允许某些事情发生。因此,如果使用默认文件权限无法完成某些操作,则无法使用 SELinux 完成。
- 另一种使用 Linux 域套接字进行通信的方法。根进程将托管服务器并将密钥的文件描述符发送到符合要求的客户端(用户和进程名称......)
请指教,谢谢。
解决方案
推荐阅读
- discord.py - Discord.py 机器人门户
- javascript - 输入标签不会在反应中显示
- python - 我如何重建这个数据集,以便比较这两家公司?
- automation - 我可以用什么来使用 cypress 与本网站上的搜索栏进行交互
- numpy - 如何加载和重用以“.npy”格式保存的已保存嵌入
- python - 枚举整数列表并按索引访问列表值
- python - 通过 Twitch 用于桌面应用程序的 OAuth 2.0 授权令牌
- java - 使用 jsonpath 访问 json 值?
- css - @font-face 指向本地 URL 的链接不起作用
- sql-update - LARAVEL更新错误在null上调用成员函数update()