注:これは主に知的練習です。まれに、ユーザーの1人が損傷を受けると、一連のイベントがこの保護メカニズムを完全に役に立たなくなる可能性があるためです。それにもかかわらず、私はこれが興味深いケースだと思います。
最近のランサムウェアのニュースで、Linuxでワークステーションのファイル権限をきめ細かく管理する方法が疑問に思います。マイクロソフトは最近、Windowsの将来のバージョンには、すべてのアプリケーションが特定のユーザー権限に関係なくすべてのファイルにアクセスできないようにする権限保護メカニズムが含まれることを発表しました。
このメカニズムがACLを使用してLinuxですでに実装できるかどうかを考えました。
バックアップ用の外部ハードドライブを備えたマシンがあり、毎晩バックアップが開始される前の午前2時にマウントされているとします。私のユーザーはディスクへの書き込みアクセス権を持っており、作成されたファイルは私の所有です。だから私のユーザーが夜明け2時以降に実行されているランサムウェアに感染した場合、バックアップディスクを見て暗号化することができます。
私の考えに浮かぶ簡単な解決策は、私のファイルを読むことができる専用ユーザー(バックアップなど)を使用してバックアップを実行することです。その後、バックアッププログラムは、自分のユーザーに権限がない(つまり、元の所有権を保持する)ディレクトリにバックアップを作成します。デフォルトのUnix権限スキームは、ユーザーが権限のないディレクトリのファイルにアクセスするのを防ぎますが、これはあまりエレガントに見えません。
たとえば、ユーザーが自分の所有するファイルを読み取らないように特定のACL権限を設定できますか?
それとも、これよりもまったく異なるアプローチがありますか? (リモートssh / sftpバックアップはだまされません:)