Cómo limitar el acceso de ecryptfs a un grupo de processs

Me gustaría tener un script que haga lo siguiente:

  1. Monta un directory encriptado usando ecryptfs
  2. Configura permissions para que solo un shell bash iniciado por él y cualquier process que henetworkinge desde allí pueda acceder al directory.

Si es necesario, la secuencia de commands se puede ejecutar usando sudo para que tenga permissions para realizar el assembly y la configuration.

La idea es que tengo unos pocos progtwigs confiables que quiero usar para procesar los datos que están almacenados en un directory encryption. Deseo proteger los datos de otros progtwigs en el sistema.

Sin embargo, quiero que los progtwigs confiables puedan acceder a la carpeta de mi casa normalmente y que los files escritos por ellos estén fuera del directory encriptado para estar disponibles para cualquier aplicación. Así que ejecutar el progtwig como un usuario diferente no parece ayudar.

Hasta ahora he investigado SELinux y cgroups. De estos, cgroups parece estar más cerca de lo que quiero porque henetworkinga automáticamente los permissions. Creo que podría configurar dos cgroups, "de confianza" y "no de confianza", donde "no confiable" sería el pnetworkingeterminado que contiene todas las tareas. Sin embargo, he encontrado muy poca información sobre cómo restringir el acceso a los files usando cgroups y no estoy seguro si es posible de la manera que quiero.

Entonces, ¿cómo limitar el acceso de ecryptfs a un grupo de processs ?

Después de una pregunta relacionada , encontré la herramienta para compartir, que antes no conocía y que hace exactamente lo que quiero.

El siguiente script es lo que se me ocurrió:

mount_privately.sh:

 #!/bin/bash sudo unshare -m /bin/bash -c "mount -t ecryptfs $1 $2; su $USER; umount $2" 

Ejemplo de uso:

 user@localhost:~$ ./mount_privately.sh backing_dir secure_dir Passphrase: ... user@localhost:~$ # secure_dir is now a 

Parece que sería posible lograr esto sin root también, pero esto es lo suficientemente bueno para mí.