本来 html 文件默认是 Chrome 打开的,每次启动百度网盘后都会被它重新设置。在 Ubutu 上配置默认启动应用的文件位于 ~/.config/mimeapps.list
考虑如何阻止 /opt/baidunetdisk/baidunetdisk 修改这个文件,进一步引申到如何限制一个进程能够访问的文件?
在 Linux 上权限边界是 User 而不是应用,任何在当前用户下运行的应用都能获得当前登录用户的所有权限,所以 chmod 设置读写权限没用,它能改回来。
考虑利用 Sandbox 机制,对进程访问文件系统进行隔离,比如利用 chroot 或者 docker ,但是这这玩意只有通过 .deb 包的形式安装。另外 Ubuntu 上有一种 AppArmor 机制可以对进程的资源访问进行限制,可以配置进程允许访问资源的 profile 并让进程在此 profile 下运行。
另外就是直接把文件设置为 unmutable, 可以通过命令 chattr +i ~/.config/mimeapps.list 完成,这样除了 root 用户其他用户都不能修改此文件,但是这样正常默认应用设置也会受限制,也比较麻烦。
总之 Linux 上好像没有自带按照进程细分的文件访问权限管理办法,还有其他思路吗?
Select Language