解決方案鎖定一個目錄 - linux

Question

一個簡單的問題。有沒有可能鎖定在Linux下的目錄？實際上，我需要的是隻有一個應用程序（我寫的）可以訪問由此應用程序創建的指定目錄。所以基本上它是該應用程序的緩存目錄，所以用戶一直在搞這個。所以我希望在將來避免這種情況。

是否有可能這樣做？以及如何（語言：C++）？

Answer 1

在標準C++中根本不可能。

在Linux下，對可執行文件使用setuid權限，因此它在所有者的上下文中運行。然後，您可以鎖定目錄的訪問權限，因此只能由可執行文件的所有者訪問。

當然，這不會阻止用戶使用您的程序搞亂緩存。您需要設計程序，以防止用戶採取不恰當的行動。並確保所有者帳戶（可以專門爲您的應用程序設置）沒有超出其所需的特權。

Answer 2

如果您信任對其安裝的系統具有「root」權限的用戶，則可以依靠擁有特殊用戶或組，並使用setuid和/或setgid來防止他人篡改文件。但是，這確實意味着軟件的安裝程序需要擁有root權限，因此「any」用戶無法安裝該軟件，在某些情況下這可能不是一個好的解決方案。

更好的解決方案是真正要麼存儲在文件中的文件的哈希[加上一些常量數據或一些這樣的，所以用戶不能只是運行sha1 modified-file並得到「正確哈希」]，或加密整個文件。

這些方法都存在的問題是，你仍然不能100％地依靠它 - 有足夠的動機和資源的人會弄清楚常數是什麼，只是在修改數據之後計算出新的散列在你的文件中。同樣，假設您的應用程序知道如何解密文件，可以對應用程序進行反向設計以找到加密密鑰和加密方法。

因此，您正在與您的「用戶」進行一場「代碼大戰」（對冷戰的雙關語）。

有許多商業解決方案可用於許可證管理（我一直是FlexLM的用戶，但也有其他幾個）。這是一個更多的工作，可能會花費一點點的許可證費用，但如果您使用商業產品，您將爲自己節省大量的潛在頭痛。